Ingo Dachwitz Hallo und herzlich willkommen zu OffOn, dem Podcast von Netzpolitik.org. Heute, nach etwas längerer Zeit, mal wieder eine Ausgabe On The Record, bei der wir in loser Reihe interessante Menschen für ein Interview vor das Mikrofon holen und mit ihnen ein wichtiges netzpolitisches Thema besprechen. Mein Name ist Ingo Dachwitz, ich bin Journalist und Redakteur bei Netzpolitik.org und als solcher habe ich ziemlich häufig Werbung in meinem Postfach. Irgendwelche PR-Agenturen, die mir irgendwelchen Scheiß andrehen wollen. Wäre das nicht interessant für Ihre Leserinnen? Nein, ganz sicher nicht. Ab in den Papierkorb. Diese Mails sind in der Regel schneller gelöscht als Cookie-Banner weggeklickt. Neulich aber, da hatte ich eine E-Mail mit einer ganz ähnlichen Frage in meinem Postfach. Die kam nicht von einer PE-Agentur, sondern von jemandem, dessen Namen ich schon öfter mal gelesen hatte. Maximilian von Grafenstein. Jurist, Historiker und Professor für digitale Selbstbestimmung an der Universität der Künste Berlin und Teil des Einstein Center for Digital Future. Er hat nämlich mit einem Team nach mehreren Jahren Forschung ein Tool entwickelt, schrieb er mir, das das Cookie-Problem für uns lösen soll. Consenter heißt es, eine Browser-Erweiterung, mit der NutzerInnen im Netz einfach und übersichtlich Einwilligung erteilen und entziehen können. Und Maximilian von Grafenstein hat mal eine E-Mail geschrieben und gefragt, ob er mir dieses Werkzeug mal zeigen dürfte. Natürlich mit dem Ziel, dass ich dann auch darüber berichte. Könnte ja interessant sein für meine LeserInnen. Ich habe geantwortet, dass wir bei Netzpolitik.org keine Werbung machen und ich persönlich auch nicht daran glaube, dass Einwilligungsmanager als Lösung für unsere Probleme mit dem Datenschutz helfen können, aber dass er gerne versuchen darf, mich vom Gegenteil zu überzeugen. Und hier sind wir nun. Hallo Herr von Grafenstein. Hi. Beziehungsweise Max, wir haben im Vorgespräch entschieden uns zu duzen. Freue mich sehr, dass du da bist. Vielen Dank für die Einladung. Und du hast ja, glaube ich, ein paar mehr Menschen angeschrieben, nicht nur mich, sondern vielleicht auch ein paar andere Medien oder Organisationen, um dieses Tool bekannter zu machen. Wie läuft es denn so? Max von Grafenstein Ja, also gar nicht so leicht, weil wir werden tatsächlich, also einige Reaktionen, die sind sehr nett und offen und das freut mich natürlich, aber ich war tatsächlich überrascht, dass wir da tatsächlich plötzlich so, als wollten wir da irgendein Produkt vermarkten, so rüberkommen und dann entsprechend auch behandelt werden. Und das fand ich natürlich schwierig, weil da forscht und tüftelt man zehn Jahre. Und wenn man in der Wissenschaft ist, dann weiß man, da geht sehr, sehr viel Zeit und Schweiß rein. Und dann dachte ich schon in dem Augenblick, wo wir überzeugt waren, hey, das ist jetzt endlich die Lösung. Jetzt haben wir es endlich rausgefunden, wie es funktioniert. Heureka. Und jetzt gehen wir damit raus. Und Standing Ovations, so war es erst mal nicht, sondern eigentlich Skeptizismus. und Desinteresse zu weiten Teilen. Ingo Dachwitz Dabei habt ihr auch gar kein Marketingbudget, wie du mir geschrieben hast. Ja, 0,0. Also da steht jetzt auch keine Firma dahinter. Nee. Okay, gute Voraussetzung auf jeden Fall, um hier aber darüber zu sprechen. Lass uns erst mal kurz ein bisschen über dich sprechen und was über dich lernen. Du siehst auf den ersten Blick gar nicht so aus wie ein Datenschützer. Wie kommt das? Wie sehe ich denn aus? Wie sieht ein Datenschützer aus? Max von Grafenstein Da will ich jetzt nicht ins Detail gehen. Ich nehme es mal als Kompliment. Also tatsächlich komme ich mehr, also ursprünglich ja aus den kreativen Berufen. Ich habe mal Film studiert auch und bin dann eher durch Zufall zur Juristerei gekommen, habe dann gemerkt, dass ich das wahnsinnig spannend finde, fast kreativer als Trübücher schreiben. Und dann bin ich aber natürlich trotzdem, habe ich irgendwie beide Welten verbunden, habe damals so viel im Filmrecht gemacht und so, habe dann vormittags als Anwalt gearbeitet und in der Zeit, das war ja vor 15 Jahren ungefähr, kam immer mehr, wurde immer präsenter der Datenschutz. Und als ich da zum ersten Mal drüber gestolpert bin, dachte ich einfach nur, oh Gott, das ist das allergrässlichste Rechtsgebiet, was ich je gesehen habe, weil ich damals immer versucht habe, halt Gesetze natürlich nicht auswendig zu lernen, sondern irgendwie den Sinn und Zweck zu verstehen. Und der Sinn und Zweck im Datenschutzrecht hat sich bei mir auf den ersten Blick überhaupt nicht erschlossen. Gleichzeitig habe ich mitgekriegt, dass alle stöhnen und sagen, das ist so innovationsfeindlich. Und dann bin ich damals über ein Forschungsinstitut gestolpert, das Alexander von Humboldt-Institut für Internet und Gesellschaft. Da bin ich heute auch immer noch quasi in Nebentätigkeit. Und da sollte ich eine Startup-Law-Klinik aufbauen, um Forschung zu den Wirkungen von Regulierung auf Innovationsprozesse zu machen. Ingo Dachwitz Und zu beweisen, dass es sehr wohl zusammengeht. Max von Grafenstein Ja, genau. Und dann habe ich mir natürlich ein Rechtsproblem geschnappt, wo das besonders dramatisch diskutiert wird. Und das ist das Zweckbindungsprinzip im Datenschutzrecht. Und konnte tatsächlich kontraintuitiv oder überraschenderweise auf dem Reißbrett beweisen, dass der Datenschutz tatsächlich ein Wettbewerbsvorteil sein kann. So wie es Jan-Film-Albrecht und Neli Größ ja damals auch versprochen hatten. Ingo Dachwitz Die beiden EU-PolitikerInnen, die die Datenschutz-Grundverordnung massiv vorangetrieben haben. Max von Grafenstein Ganz genau. Man konnte eben beweisen, dass das sogar also in Theorie stimmt. Aber in der Praxis hat es einfach keiner so aufgegriffen und umgesetzt. Und so bin ich halt immer, immer tiefer in diesen Kaninchenbau geschlittert, wo ich immer eben selber dann beweisen musste, hey, das kann funktionieren. Und diese Genese zeigt vielleicht, dass ich eben nicht so dieser typische Datenschützer bin, der eben von Anfang an das einfach total schön findet. andere Leute mit Paragrafen, also Paragrafen auf die zu werfen. Ich komme halt aus der anderen Richtung eigentlich. Ich fand das aber immer spannend. Ingo Dachwitz Was macht denn ein Professor für digitale Selbstbestimmung? Max von Grafenstein Also das ist eine interdisziplinäre Professur. Das war dann das große Glück eben nach der DISS, dass ich dann, da habe ich gesehen, okay, jetzt konnte ich es für mich rechtswissenschaftlich lösen, was eigentlich Ziel und Zweck im Datenschutzrecht und wie man das eigentlich innovationsoffen und gleichzeitig risikoschützend auslegen kann. Und habe dann beim Einstein Center Digital Future diese Professur ausgeschrieben gesehen für digitale Selbstbestimmung an der Universität der Künste. Und dachte mir, das ist genial, weil ich stand genau da, dass ich wusste, jetzt müssen wir eigentlich in die Implementierung gehen. Und ganz viele Vorschriften aus dem Datenschutzrecht, deren wirksame Umsetzung hängt eigentlich von ihrer Usability ab. Und jetzt gibt es an der Universität der Künste natürlich relativ viel Wissen zu designen. Und deswegen habe ich mich dann auf diese interdisziplinäre Professur beworben und habe die dann tatsächlich bekommen. Und wichtig, witzigerweise, diese Überzeugungsarbeit, weil die haben sich natürlich auch gefragt, was will jetzt ein Jurist da unter uns Künstlern, war wiederum, dass ich Film studiert hatte. Also war jetzt nicht das ausschlaggebendste, aber war vertrauensfördernd. Ingo Dachwitz Okay, dann ist es auch irgendwie logisch, dass dann aus deiner und eurer Arbeit am Ende ein Produkt rauskommt wie ConSenter, über das wir heute sprechen wollen. Ganz genau. Okay, vielleicht nochmal, ich habe irgendwo gelesen, du seist Serial Entrepreneur, also Mehrfachunternehmer. Was hast du so gegründet? Max von Grafenstein Das klingt so hochtrabend, aber es ging halt los, nachdem ich eben Jura dann das zweite Staatsexamen gemacht hatte. Und dann hatte ich ja noch diese Zusatzausbildung in europäischer Filmproduktion und kam dann endlich aus Paris nach Berlin zurück. Habe vormittags eben als Filmrechtsanwalt gearbeitet, um Geld zu verdienen. Und nachmittags habe ich meine eigenen interaktiven Filmkonzepte geschrieben. Und da habe ich dann irgendwann eine Förderung des Medienboards Berlin-Brandenburg bekommen, womit ich mein erstes Filmstartup gegründet hatte. Das ist die Mauerschau, die gibt es übrigens immer noch. Da sind wir dieses Jahr neu rausgekommen mit dem kompletten neuen Design. Also jeder, der sich das runterladen, will ich herzlich eingeladen. Aber so ging das Ganze los. Ingo Dachwitz Okay, was macht die Mauer, Schau? Max von Grafenstein Das ist eine Augmented Reality App. Da haben wir mehr in der historischen Bildung sozusagen, haben wir viele Zeitzeugeninterviews gemacht zum Bauunfall der Mauer, aber an Ort und Stelle. Und diese Zeitzeugen führen dich halt dann in Berlin an die Orte, wo sie dann auf dem Moskau-Paris-Express aufgesprungen sind, um zu flüchten und so weiter. Und dadurch entwickeln wir so einen spannenden Augmented Reality-Effekt, dass man heute, wenn man durch die Straßen läuft und man sieht ja gar nicht mehr, wo eigentlich historisch was passiert ist, legen wir so eine digitale Schicht drüber, um das quasi wieder erlebbar zu machen. Ingo Dachwitz Klingt spannend, okay. Heute soll es aber um etwas anderes gehen. Heute geht es um eines der riesengroßen Probleme des Datenschutzes, eines der Kernprobleme, würde ich mal sagen, der Datenschutz-Grundverordnung, Die Einwilligung und wie sie ein bisschen, das jedenfalls ist meine Erfahrung nach mehreren Recherchen, nach zahlreichen Recherchen, die wir gemacht haben zu dem Thema, wie sie ein bisschen zum Feigenblatt verkommen ist des Datenschutzes. Die Data Broker Files haben wir hier im Podcast schon oft besprochen, ist nur unsere letzte Recherche, die gezeigt hat, okay, Einwilligungen werden eingesammelt in der App. Sie müssten eigentlich freiwillig und informiert sein, laut Datenschutz-Grundverordnung. Oft sind sie weder das eine noch das andere. Sie sind nicht freiwillig, weil man oft keine Wahl oder immer wieder keine Wahl hat. Außer man möchte die App nicht benutzen. Man ist immer noch Friss- oder Stirbssituationen. Und sie ist auch nicht informiert. Das jedenfalls haben wir mit den Data-Broker-Files gezeigt. Weil sie, wenn Daten bei DatenhändlerInnen landen, obwohl man einfach nur bei einer App, eine Spiele-App oder eine Wetter-App, die man installiert hat, einmal irgendwann Ja gesagt hat und dann nicht nur bei Datenhändlern, sondern auch bei JournalistInnen landen, bei vollkommen unbekannten Personen und die damit was auch immer machen können, dann kann die Einwilligung auch nicht informiert sein. So würde ich das Problem erst mal beschreiben. Max von Grafenstein Ja, und spitzt doch mal deine Kritik noch weiter zu. Also da kann ich nämlich noch schöner drauf antworten. Ingo Dachwitz Spitz du sie gerne zu. Max von Grafenstein Weil also gehörst du zu den Leuten, die eben sagen, hey, die Einwilligung ist an sich schon das falsche Rechtsinstitut, Instrument, das müssten wir eigentlich durch andere gesetzliche Regelungen ersetzen oder wie weit würdest du gehen? Ich habe wirklich lange Ingo Dachwitz gedacht, dass die Einwilligung eigentlich der richtige Weg ist, dass es funktionieren kann. Ich habe auch als Journalist die Verhandlungen um die E-Privacy-Verordnung eng begleitet, dass er der Versuch war der Europäischen Union, der Einwilligung mehr zu ihrem Recht zu verhelfen, würde ich jetzt mal sagen. Jedenfalls nach dem Willen des EU-Parlaments NutzerInnen die Möglichkeit haben, im Browser zum Beispiel auch pauschal zu sagen, ich will nicht oder ich will. Und das hätte ich für einen gangbaren Weg gehalten. Ich habe aber die Erfahrung sozusagen gemacht, okay, das will die Industrie nicht. Die hat sich mit allen Mitteln gewährt dagegen, dass solche Regeln eingeführt werden. Technische Standards, Do Not Track ist jetzt auch irgendwie 10, 15 Jahre alt. Also der Versuch, über einen technischen Standard im Web Browser, dass NutzerInnen einfach das Signal senden können an Websites, ich möchte nicht getrackt werden, war mal sozusagen in Hoffnungsschimmer, ich weiß gar nicht, vor 15 Jahren oder so, ist komplett zu Tode ignoriert worden, muss man einfach sagen, von den großen Website-Betreibern, aber dann auch von den Browser-Betreibern irgendwann. Deshalb glaube ich nicht mehr so richtig an die Einwilligung. Max von Grafenstein Ja, das Spannende an der Einwilligung ist natürlich, dass das so komplex ist. Also wenn man jetzt erstmal sagt, der Datenschutz ist wichtig und der ist extrem wichtig, das habe ich dann eben nach meiner Diss auch gecheckt, da geht es ja im Prinzip darum, also im Datenschutzrecht, dass quasi die Daten nicht auf eine Art und Weise verarbeitet werden, nämlich hinter deinem Rücken, ohne dass du irgendwelche Interventionsmöglichkeiten hast, dass es irgendwelche Datenqualitätsstandards gibt. sodass dann diese Datenverwendung zu einem Missbrauch führen und du eigentlich deine grundlich verbürgten Freiheiten und Gleichheitsansprüche und so weiter, Partizipationsansprüche nicht mehr wahrnehmen kannst. Ganz einfaches Beispiel. In meiner Startup Law Clinic hatte ich damals ein Startup. Die hatten eine geniale Idee und zwar, dass sie für die Human Resources Abteilungen in großen Unternehmen von verschiedenen sozialen Netzwerken und auch Berufsnetzwerken quasi die öffentlich verfügbaren Daten absaugen über einzelne Personen und die zu Profilen verdichten. Und dann konnten sie erstmal in dem ersten Schritt einfach drei Parameter über jeden von uns quasi angeben, nämlich also die Wahrscheinlichkeit, dass diese Person ihren jetzigen Beruf wechseln will, die Wahrscheinlichkeit, dass diese Person auch den Ort wechseln würde. Das sind ja beides zwei Angaben, die für Human Resources Abteilungen, die neu suchen, Recruiten quasi sehr wichtig sind. Und das dritte, und jetzt wird es spannend, sagen können, wie hoch ist deine Expertise in einem Gebiet im Prozent? Ingo Dachwitz Okay. Max von Grafenstein Und das fand ich interessant. Ingo Dachwitz Verstehe ich aus Human Resources Perspektive, aus HR Perspektive, warum man das wollen würde. Max von Grafenstein Genau. Ob ich jetzt als Arbeitnehmer das wollen würde, weiß ich nicht. Also ich habe dann gefragt, du, ist ja spannend, zeig mir mal mein Profil. Und tatsächlich hatten sie ein Profil von mir. Und bei der Expertise im Prozent kam dann raus im Datenschutzrecht 25 oder 25 Prozent. Und das, nachdem ich schon fünf Jahre als Anwalt, also ein paar Jahre als Anwalt gearbeitet hatte. Ich habe da schon mein LLM im Datenschutzrecht gemacht. Ich habe die Doktorarbeit dazu geschrieben und habe gefragt, wie kann denn das jetzt sein? Und die waren auch überrascht, weil gerade haben sie mich ja noch ernst genommen in meiner datenschutzrechtlichen Beratung quasi. Und dann haben sie so überlegt und dann, ja stimmt, wir haben das Modell so gebaut, dass wenn man in Ausbildung ist, kommt man automatisch nicht über 25% Expertise. Und weil du gerade eine Doktorarbeit schritt bist, bist du in Ausbildung und damit bist du halt jetzt nur 25%. Ingo Dachwitz Okay, da haben wir natürlich ein grundlegendes Problem, das nicht ein Datenschutzproblem ist, sondern das ein Designproblem dann ist sozusagen. Max von Grafenstein Ich denke, das ist das perfekte Datenschutzproblem. Ingo Dachwitz Das ist das perfekte Beispiel. Max von Grafenstein Genau das versucht der Datenschutz quasi zu verhindern, dass du eigentlich technisch gut gedachte, gut gemeinte Ideen quasi so ausgestaltet, Die können ja quasi die, solche statistischen Modelle können ja die Realität nie komplett abbilden. Es sind immer nur Modelle, es sind Ausschnitte der Wirklichkeit und die verzerren eben die Wirklichkeit. Und es kann eben passieren, dass, wenn es hinter meinem Rücken gemacht wird und da gibt es keine Datenqualitätsstandard und da gibt es keine Interventionsmöglichkeiten durch mich, dass dann sowas rauskommt. Und genau das will der Datenschutz verhindern. Also der sagt eben, ey, wir brauchen Datenqualitätsstandard, wir brauchen, wir müssen das transparent machen Und wir müssen dem Maximilian quasi Interventionsrechte geben, damit der, bevor diese Daten da weitergegeben werden und er überhaupt nie mehr eingeladen wird zu irgendeinem Vorstellungsgespräch, die Möglichkeit geben, das zu korrigieren oder seine Partizipationsmöglichkeiten wieder zu verbessern. Und genau das will der Datenschutz. Ingo Dachwitz Aber wie sähe das in diesem konkreten Modell dann aus? Weil die können ja nicht alle Leute, also die fragen ja nicht alle Leute, bevor sie diese Profile von ihnen erstellen. Oder wäre das die Lösung sozusagen? Max von Grafenstein Jetzt kommt natürlich als ein Instrument die Einwilligung ins Spiel. Und jetzt ist eben die Frage, also wenn wir überhaupt mal verstanden haben, okay, interessant, also ich habe verstanden, worum es eigentlich geht. Ich verstehe, dass es jetzt verschiedene Rechtsinstrumente gibt, um diese Transparenz und die Datenqualität und die Inventionsmöglichkeiten herzustellen. Und die Einwilligung ist eben eine davon, aber natürlich nicht die einzige. Und mit der Einwilligung kannst du auch nicht diese ganzen Probleme erschlagen. Die Einwilligung ist immer eine wichtige Komponente unter mehreren. Und jetzt ist eben die Frage, ob die Einwilligung überhaupt taugt. Weil wir sehen natürlich, wir werden im Internet bombardiert mit Einwilligungsabfragen, nicht nur im Internet. Bei jedem Arztbesuch werden mir irgendwelche dreiseitigen Schriftsätze vorgelegt, es interessiert mich nicht die Bohne. Ja, ich hake das einfach ab, entweder ja oder nein. Ingo Dachwitz Und oft genug, eben das haben wir auch gezeigt, mit Recherchen wird man auch über den Tisch gezogen. Ich habe das mal für Handyshops gezeigt, wo mir Mitarbeitende berichtet haben, wie sie dann einfach alles ankreuzen quasi und die Leute unterzeichnen nur auf dem Bildschirm und dann haben sie einfach für sie alle Datenschutz. Und das ging damals um O2 sozusagen, die haben das encouraged, weil sie Kartequoten vorgegeben haben. Du kriegst deine Boni nicht, wenn du nicht 90% Einwilligung von den Leuten holst. Und wie bekommst du 90% Einwilligung, indem du die Leute nicht fragst? Max von Grafenstein Und das ist wirklich, also die Einwilligung, wie sie heute umgesetzt ist, ist die totale Farce, die behauptet digitale Selbstbestimmung. Aber in Wirklichkeit sagen die Leute natürlich alle nur, wenn es jetzt wenigstens selbst nach Best-Practice-Regeln ausgestaltete Cookie-Banner, da hast du ja wenigstens jetzt quasi diese granularen Einstellungen meistens auf der ersten Ebene. Dann hast du Accept-All und Deny-All und kannst du noch granulare Einstellungen machen und auf Save klicken. Und selbst wenn du es so machst, das konnten wir in einer quantitativen empirischen Studie nachweisen, niemand versteht, was da alle drücken, entweder auf Accept All oder Deny All, aber eigentlich hat keiner verstanden, was da wirklich passiert ist. Und das ist natürlich total tragisch aus mehreren Gründen. Erstens, also wenn du jetzt zu der einen Hälfte, das ist so einigermaßen 50-50, wenn du jetzt zu der Hälfte gehörst, die so sich keine Sorgen machen, dann sagen die, hey, ich will den kompletten Funktionsumfang im Internet erreichen oder helfen, den mitzufördern, indem ich die Einwilligung halt gebe und man kann die Daten verarbeiten, aber ich verliere eigentlich komplett die Kontrolle. Entweder du gehörst zu dem Lager oder du gehörst zu dem vorsichtigen Lager und sagst, ey, ich will auf keinen Fall, dass da irgendwas passiert. Dann drückst du auf Deny All und dann kannst du aber eigentlich quasi das Innovationspotenzial nicht nutzen oder fördern. Und das ist natürlich tragisch, weil eigentlich hat doch die DSGVO versprochen, jetzt den Datenschutz fit fürs digitale Zeitalter zu machen. Jetzt quasi endlich digitale Innovation auf einer nachhaltigen Basis quasi zu ermöglichen. Aber was bei uns ankommt, bei den Verbrauchern, genauso wie bei den Wirtschaftsunternehmen, ist diese Farce. Dass es einfach nicht funktioniert. Und das führt natürlich, ehrlich gesagt auch, um das ein bisschen zuzuspitzen, zu einer Erosion des Vertrauens in einen effizienten Rechtsstaat. Und deswegen muss man dieses Problem lösen. Ingo Dachwitz Ja, okay, jetzt bin ich gespannt. Wir können am Ende, würde ich mal sagen, nochmal ein bisschen über das Big Picture sprechen quasi. Lass uns über deinen konkreten oder über euren konkreten Lösungsvorschlag sprechen. Wie löst man es? Also bevor du es mir zeigst, beschreib mal, was ist eure Lösung? Max von Grafenstein Okay, also wenn man eine Lösung baut, dann überlegt man natürlich erstmal, was ist das Problem? Und das Problem, das haben wir natürlich dann auch, gibt es ja schon sehr viele empirische Nutzerstudien, dann haben wir aber nochmal eigene gemacht, weil wir das Problem noch weiter fest präzisieren wollten. Und das Problem ist ja letzten Endes dreierlei oder vor allem zweierlei. Und zwar erstens sind diese Einwilligungsbanner so ausgestaltet, dass sie einfach nicht informieren. Und woran liegt das? Das liegt jetzt einmal, dass die Einwilligung zum allerungünstigsten Augenblick abgefragt wird. Man landet als Verbraucher auf einer Webseite und dann will man genau was anderes machen, als jetzt irgendwie juristisches Klein-Klein durchzulesen, sondern man will sich die Webseite angucken. Ingo Dachwitz Dann legt man dann ja auf den grün dick blinkenden farblich hinterlegten Button, alles akzeptieren, weil man schnell auf die Webseite möchte. Max von Grafenstein Ganz genau. Und dann ist das Banner auch noch extrem klein. Das heißt, wir haben wenig Aufmerksamkeit und wenig Platz. Und jetzt ist die Frage, okay, wie macht man das? Also das sind die ersten zwei Probleme. Und das dritte Problem ist, dass selbst wenn man das jetzt noch irgendwie lösen könnte, sich mehr Platz zu verschaffen, sich mehr Aufmerksamkeit zu verschaffen, dass diese Einwilligungen ja so oft abgefragt werden, dass man wegen dieser sogenannten Einwilligungsmüdigkeit schon wieder wegdämmert und einfach so sagt, ey, ich packe es nicht. Dieses monotone ständig wegklicken, ich gucke es mir allein deswegen nicht an. Und jetzt weiß man also, okay, also was muss man machen? Ein wichtiger erster konzeptionelles Startpunkt ist natürlich, dass du die Einwilligung als Prozess verstehst. Dass du quasi bestimmte Elemente, quasi prozedural zeitlich verteilst auf verschiedene Touchpoints, wenn wir jetzt mal in dieser Usability-Sprache sind. Und das Wichtigste ist, dass du es in einem ersten Schritt mal vor die Klammer ziehst. Das heißt, wir haben jetzt einen Agenten aktuell, ist das ein Browser-Plugin, das kannst du aber auch überall, das kannst du später in die EU-DI- Wallets einbauen, Browser könnten das eigentlich einbinden, wenn sie wollten und so weiter. Da kannst du jetzt einmal vorab quasi auf einer typisierten Ebene dir angucken, für welche Zwecke werden eigentlich deine Daten typischerweise angefragt, wenn du irgendwelche Dienste nutzt? Ingo Dachwitz Also sowas wie Werbung, Einbindung von Drittdiensten, also Videos zum Beispiel eingebunden haben, Statistik. Richtig, genau. Max von Grafenstein Also es ist immer Statistiken zur Verbesserung der Webseite. Es ist immer das Einbinden von Drittdiensten wie Videos. Es ist sehr häufig die Personalisierung des Dienstes. Und es ist dann auch noch häufig, auch wenn ich längst nicht bei allen Webseiten, Online-Werbung zur Finanzierung des Mediendienstes. So, und jetzt, indem wir das quasi vorab, also vor die Klammer ziehen, hat man erst mal schon mal mehr Zeit und mehr Platz und mehr Aufmerksamkeit, um sich das einmal durchzulegen. Ingo Dachwitz Man stellt also einmal sozusagen sein Default ein erst mal, Max von Grafenstein wenn man gerade einen Moment Ruhe hat und sagt, Ingo Dachwitz Werbung will ich grundsätzlich nicht, Statistiken zur Website-Entwicklung ja. Max von Grafenstein Genau. Und wir erklären dir halt, das haben wir auch in einer eigenen empirischen Nutzerstudie rausgefunden, da haben wir die Leute gefragt, ey, was ist eigentlich die Information, die für dich am relevantesten ist? Weil du könntest ihnen natürlich jetzt das technische System im Klein-Klein erklären, aber das beruht ja wieder auf der Annahme, dass das das ist, was Verbraucher brauchen. Und deswegen haben wir gefragt, hey, was brauchst du eigentlich? Und interessanterweise, und das liegt eigentlich nahe, sagen die meisten, ey, was ich wissen will in allererster Linie, was hat jetzt das für Auswirkungen auf mich persönlich, wenn ich meine Einwilligung gebe und meine Daten für den einen oder anderen Zweck verarbeitet werden. Sprich, die Risiken und die Vorteile. Und wir klären also jetzt für jeden Zweck, was sind deine Risiken, was sind deine Vorteile. Und das Interessante ist, das ist natürlich pro Zweck unterschiedlich und entsprechend dessen entscheiden sich die Leute auch. Ingo Dachwitz Das zeigen Studien quasi. Genau. Ja, dann zeig du mir doch mal das Tool, wie das so ausschaut, diese unterschiedlichen Zwecke. Max von Grafenstein Also ich zeige dir jetzt hier einfach mal unseren... Also Maximilian schiebt mir jetzt, liebe HörerInnen, ihr seht das ja nicht. Ingo Dachwitz Es ist ein kleines Experiment hier, dass ich etwas gezeigt bekomme und ich versuche es euch zu übersetzen. Maximilian von Grafenstein schiebt sein Laptop rüber und hat jetzt eine Webseite geöffnet. Max von Grafenstein Perfekt. Und du siehst jetzt hier quasi dieses kleine Browser-Plugin. Das ist jetzt für einen Chrome-Browser, das wird aber dann natürlich auch für einige weitere wichtige Browser quasi verfügbar sein, auch für mobil. Ingo Dachwitz Also oben neben der Adressleiste ist so ein kleiner Button, da steht Concentre, da kann man dann draufklicken. Max von Grafenstein Ganz genau. Und wenn du da draufklickst, dann öffnet sich quasi das Concentre. Das ist quasi unser Wortspiel. Und jetzt erklären wir dir hier visualisiert, was diese typischen Zwecke sind. Also erster Zweck Statistiken zur Verbesserung der Webseite, zweiter Zweck auf Englisch Enable Edition Website Features, dritter Zweck Customize the Website for You, vierter Zweck Customize Online Ads. Und bei jedem Zweck sehen wir jetzt eben so ein Motion Design, also eine Visualisierung, die eben zeigt, wie sich jetzt die Webseite verändert, wenn man den Zweck jetzt erlaubt oder nicht. Ingo Dachwitz Also bei konkrete Zusatzdienste sozusagen ermöglichen, da sieht man dann ein Icon von einer Webseite mit einer Karte, die dann eingeblendet ist. Max von Grafenstein Ganz genau. Und was wichtig ist, wir zeigen immer für jeden Zweck ein eigenes Privacy-Icons. Das war wieder ein eigenes Forschungsprojekt, wo wir jahrelang diese Icons entwickelt und getestet haben, weil das so eine Art Verkehrszeichensystem ist. Also am Anfang muss man die natürlich lernen. Dann sagt man immer, was meint man mit diesem Icon? Aber je länger wir das benutzen, desto mehr erinnern wir uns daran. Und das hat den großen Vorteil, dass visuelle Sprache schneller erfasst wird als Buchstaben und sie brauchen weniger Platz. Ingo Dachwitz Das ist ja eigentlich eine Möglichkeit, die die Datenschutz-Grundverordnung auch schon vorgesehen hat sozusagen. Irgendwie Privacy-Icons. Ich habe mich aber gewundert. Also ich höre immer mal wieder Forschungsprojekte dazu, aber in der Praxis sehe ich das nie. Und erst recht keine Initiative der EU-Kommission, die standardisiert irgendwie an den Start zu bringen, um NutzerInnen leichter zu signalisieren. Max von Grafenstein Ja, Gott sei Dank, würde ich mittlerweile sagen, weil wir herausgefunden haben, also es ist einfach extrem schwierig, diese Icons richtig zu bauen. Und zwar wegen, das ist ja ein Grundkonflikt, also als Jurist versuchst du ja alles so präzise und kleinteilig wie möglich zu erklären. Und mit einem Icon machst du ja eigentlich das Gegenteil. Verdichten, pauschalisieren und so weiter. Und jetzt musst du quasi immer diesen Sweet Spot in der Mitte finden. Und das Wissen musst du dir mühselig über ein paar Jahre aufbauen, also bis du rausfindest, was funktioniert denn jetzt wie eigentlich? Und wir sind ja immer noch nicht am Ende. Aber deswegen ist es eigentlich ganz gut, dass die EU-Kommission das nicht selber gemacht hat, weil ich jetzt nicht sehe, dass sie quasi die Ressourcen aufbauen könnte, sowas selber zu entwickeln. Okay. Ingo Dachwitz Also bei zusätzliche Website-Features ermöglichen, Da ist das Privacy-Icon, das ist ein Schloss, darum ist ein Kreis. Der ist zu drei Vierteln blau und zu einem Viertel etwa rot, orange. Was das heißt, ist es nicht ganz so gefährlich, vermute ich jetzt mal. Versuche ich mir intuitiv zu erschließen. Max von Grafenstein Ja, ganz genau. Das ist unsere sogenannte Risk-Benefit-Ratio. Also was wir machen ist, dass wir bei jedem Zweck da jetzt quasi ermittelt haben, welche Risiken und welche Vorteile bringt der jetzt für die VerbraucherInnen. Und die setzen wir in ein Verhältnis und damit hast du dann quasi diese Kreissegmente. So setzen wir das dann visuell um. Rot für Risiko und blau für Vorteile. Ingo Dachwitz Und die stehen dann da für die jeweiligen Zwecke dann auch noch daneben in diesem Fall? Max von Grafenstein Genau. Ingo Dachwitz Jetzt hast du draufgeklickt, dann sind sie noch größer. Max von Grafenstein Genau, zweite Ebene. Dann kannst du dir das im Detail angucken. dann erklären wir eben jeden einzelnen Vorteil, jedes einzelne Risiko. Ingo Dachwitz Ja, was steht da jetzt für die Ermöglichung von Zusatzdiensten, wie etwa Karten? Max von Grafenstein Ja, also das geht einher mit einer besseren Nutzererfahrung eben auf der Webseite. Es ist auch eine gewisse Zeitersparnis, weil man die Karte halt direkt auf der Webseite angezeigt bekommt und man muss nicht einen neuen Tab öffnen. Und dem stehen dann quasi hier zwei Risiken entgegen. Und zwar einmal, dass damit natürlich so mittlere Einsichten in die Art und Weise, wie du diesen Dienst nutzt, entstehen. Ja, weil man kann das da grundsätzlich beobachten, wie du jetzt die Karte quasi aufschlägst und so weiter und so fort. Und wir gehen jetzt hier mal typisiert davon aus, wie gesagt, das ist immer typisiert jetzt zu diesem Augenblick noch, dabei ein Dienst benutzt wird, der seinen Sitz nicht in Europa hat, sondern außerhalb der EU. Und damit findet ein Datentransfer außerhalb der EU statt, was mit einem oftmals nur angemessenen Datenschutzniveau einhergeht und nicht mit dem gleich hohen Niveau notwendigerweise wie mit der EU. Und deswegen ist das auch ein kleines Risiko. Und das erklären wir halt. Ingo Dachwitz Okay. Und in der Abwägung kommt ihr dann bei dieser Funktion zu dem Schluss, dass das Risiko geringer ist auf jeden Fall als der Nutzen. Max von Grafenstein Ganz genau. Ingo Dachwitz Da können natürlich aber NutzerInnen dann auch zu einer anderen Abwägung kommen. Das ist jetzt eine Handreichung, eine Empfehlung. NutzerInnen könnten aber trotzdem sagen, nee, ich will auf keinen Fall Datentransfer in Dritt starten. Das heißt, ich schalte dann das Enablen von Additional Features grundsätzlich erstmal aus. Max von Grafenstein Ganz genau. Und deswegen ist die Einwilligung eigentlich nach wie vor das richtige Instrument, weil wir haben eben eine, also jetzt mehrere quantitative Studien gemacht und in dem Augenblick, wo die Leute besser verstehen, was diese Zwecke eigentlich heißen und vor allem die Risiken und die Vorteile verstehen, plötzlich merkt man, dass dieses pauschale Accept-All und Deny-All komplett aufbricht, sondern dass die Leute sich wirklich ganz unterschiedlich entscheiden, also wirklich granulare Entscheidungen treffen. Und die höchsten Einwilligungsraten entstehen dann da, wo das Risk-Benefit-Verhältnis am besten ist, also am wenigsten Risiken, am meisten Vorteile. Und je mehr Risiken es sind im Vergleich zu den Vorteilen, also je schlechter dieses Verhältnis wird, desto mehr geht die Einwilligungsrate nach unten. Und jetzt könnte man, ich meine, Was wäre jetzt die Alternative zur Einwilligung? Entweder, dass es halt der Gesetzgeber regelt. Und jetzt könnte der sagen, also diese unterschiedlichen Zwecke, die erlaube ich jetzt einfach unter bestimmten Bedingungen oder ich verbiete sie einfach. Und der Witz ist aber, dass wir immer mindestens 25 Prozent noch haben, die entweder alles erlauben oder gar nichts wollen. Und das führt dazu, dass du diese Leute eigentlich paternalisieren würdest. Sprich, mit der Einwilligung hast du eigentlich das optimale Instrument, um jedem quasi alles nach seiner Fasson zu ermöglichen. Ingo Dachwitz Wir sprechen gleich nochmal darüber, sozusagen über diese Grundsatzfrage, würde ich sagen. Da schieben wir nochmal ein bisschen ans Ende diese Diskussion. Lass uns nochmal beim Tool bleiben. Das sieht sehr übersichtlich aus, also in den Farben so rot bzw. orange und blau und weiß gestaltet. ist wirklich, auf jeden Fall, wenn ich mir diese Icons erst einmal erschlossen habe, sehe ich auf den ersten Blick, was die von euch vorgeschlagene Risikoeinschätzung ist. Und vor allen Dingen habe ich relativ übersichtlich daneben stehen, sozusagen die Vorteile und die Nachteile. Und wenn man runterscrollt, dann kommt man zum nächsten Zweck. Achso, oder man kann dann für den einen Zweck, kann man hier den Haken setzen oder nicht. Max von Grafenstein Genau, du kannst dich jetzt dafür oder dagegen entscheiden. Und ich mache jetzt einfach mal den ersten Zweck Ja. Ingo Dachwitz Was passiert dann? Okay, dann geht er zum nächsten Zweck. Max von Grafenstein Genau, du swipest dich da quasi durch wie auf Tinder, sagen wir jetzt mal. Und kannst halt dann jetzt, mache ich die ersten zwei auf Ja und die Nummer drei und Nummer vier auf Nein. Ja, Werbepersonalisierung wollen wir nicht. Genau, jetzt speichere ich das. Und jetzt könnten wir, jetzt zeige ich euch den Forschungsdemonstrator, den wir gebaut haben, um das Ganze mal in einer großen Feldstudie zu testen. Das wird natürlich dann in real so funktionieren tatsächlich unter bestimmten Bedingungen, wenn wir live gehen. Aber nur damit du dich nicht wunderst. Wenn wir jetzt auf Netzpolitik.org gehen, dann wirst du nämlich jetzt natürlich nicht euer echtes Cookie-Banner sehen, weil das mussten wir für diese Studie. Ingo Dachwitz Wir haben gar keinen Cookie-Banner. Max von Grafenstein Jetzt, dann wundert es sich noch mehr. Plötzlich erscheint nämlich eins. Ingo Dachwitz Weil wir keine Cookies für nicht notwendige Zwecke einsetzen. Max von Grafenstein Ja, interessant. Also ihr trackt noch nicht mal Statistiken. Aber guckt mal, was auf jeden Fall passiert. So. Ingo Dachwitz Jetzt ist die Startseite von Netzpolitik.org und auf der linken Seite unten wird ein kleines Feld eingeblendet, in dem ich Zwecke sehe. Und da sind jetzt blau hinterlegt die Zwecke, für die ich grundsätzlich zugestimmt habe und weiß hinterlegt die Zwecke, für die ich nicht zugestimmt habe. Grundsätzlich wahrscheinlich. Ganz genau. Und ich kann jetzt spontan entscheiden. Da läuft eine kleine sozusagen Uhr runter. Genau. kann spontan entscheiden, ob ich mehr oder weniger Zwecke zustimmen möchte. Max von Grafenstein Genau. Also könntest du jetzt zum Beispiel sagen, also Netzpolitik finde ich so super, den vertraue ich so. Die sollen doch bitte ihre Inhalte auf mich personalisieren. Dann könnte ich jetzt den Zweck noch an. Und ehrlich gesagt, ich weiß, die machen doch journalistische Inhalte. Die fragen mich immer nach Spenden. Wieso machen sie eigentlich keine Werbung? Den Werbezweck kriegen sie jetzt auch noch. Die sind doch sauber. Ich provoziere nicht mehr. Und dann gehe ich wieder runter. Eigentlich müsste ich gar nichts klicken. Wenn ich nichts klicke, läuft diese Uhr einfach ab. Ingo Dachwitz Wie lange ist das? Wie lange läuft diese Uhr ab? Habe ich eine Minute oder so? Max von Grafenstein Ja, am Anfang hast du ein bisschen mehr Zeit, weil das System eben neu ist und die Leute müssen erstmal lernen, so huch, was ist das? Aber je länger du das nutzt, desto schneller läuft es ab und desto kleiner wird es. Also das passt sich quasi an. Und wenn diese Uhr eben abläuft und selbst wenn du eben gar nichts klickst, du wirst also nicht gezwungen, dann verschwindet diese sogenannte Hand-Over-Notice und jetzt wird eben diese Einwilligung übergeben. Die Voreinstellungen, die du getroffen hattest in deinem Agenten, wird jetzt quasi als konkrete Einwilligung an diese konkrete Webseite übergeben. Und du siehst es jetzt, wenn du quasi euer Fake-Cookie-Banner öffnest. Zack, jetzt sind plötzlich alle Einwilligungen bei dir gespeichert und ich könnte jetzt auch bei mir im Agenten, das ist besonders wichtig, den auch nochmal öffnen und da gibt es eine eigene Section, Your Constant History und da findest du jetzt endlich sämtliche Einwilligungen an einem Ort, die du in den letzten drei Jahren Ingo Dachwitz 100.000 Unternehmen abgegeben haben solltest. Ganz genau. Wir wechseln jetzt mal die Perspektive auf die sozusagen Website-Betreiber. Genau. Max von Grafenstein Und wir stellen uns so einen Friseurladen vor. Also für die muss es einfach möglichst einfach sein. Das ist einfach nur ein Pain. Und die sollen jetzt da möglichst einfach durchgeführt werden und auch ein bisschen weit verstehen, wie funktioniert das Internet eigentlich. Es hat ja irgendwie auch was leicht Aufschlauendes. Und da gibst du jetzt quasi einfach deine Credentials ein sozusagen, kannst du dich einloggen und dann kommst du da rein jetzt hoffentlich. Ingo Dachwitz Darüber steht Consentermanager, das ist dann quasi das Backend für die Website. Max von Grafenstein Genau, da loggst du dich ein, dann sagt dir die erste Seite, hey, du hast ja noch gar keine Webseite hier angelegt, okay. Dann legst du jetzt einfach deine Domain hier an, da sage ich jetzt mal www.mauerschau.berlin, das ist ja mein Startup. Da ärgere ich mich schon immer, dass ich kein schönes Cookie-Banner habe. Gebe das jetzt ein und jetzt geht es schon weiter. Und jetzt sind wir sofort in diesem Prozess drin. Jetzt kannst du die Zwecke aussuchen, für die du die Daten deiner Webseitenbesucher verarbeiten willst. Also hier sind es vor allem erstmal nur zwei, nämlich Verbesserung der Webseite und Enabling Additional Website Features, weil das unsere Hauptzielgruppe erstmal ist. Okay, und jetzt wählst du den Dienst aus und jetzt siehst du, bam, sofort kommt dieser Kreis wieder mit dieser Risk-Benefit-Ratio. Ingo Dachwitz Also er hat jetzt geklickt auf Improve the Website, also die Statistiken, um die Website-Performance zu verbessern, genau. Max von Grafenstein Genau, und jetzt siehst du erst mal nur Vorteile. Also es gibt noch kein Risiko, aber jetzt geht ein zweites Fenster auf daneben, wo du jetzt quasi sagen musst, welchen Dienstanbieter benutzt du eigentlich, also Drittanbieter, um jetzt diese Website-Statistik quasi durchzuführen. Ingo Dachwitz Google Analytics zum Beispiel. Max von Grafenstein Google Analytics oder Matomo. Es gibt ja, ich glaube, allein 100 Anbieter. So, und jetzt wird es spannend, weil je nachdem, welchen Anbieter du wählst, sind die natürlich unterschiedlich konfiguriert. Du kannst sie unterschiedlich konfigurieren. Die erheben in unterschiedlicher Art und Weise Daten und verarbeiten sie. Ingo Dachwitz Okay, das ist natürlich echt granular dann. Max von Grafenstein Ganz genau. Und das hat Auswirkungen auf die Risiken. Jetzt siehst du sofort, wenn du hier zum Beispiel einen anklickst, geht sofort das erste Risikofeld auf. Jetzt haben wir schon ein erstes orangenes Segment in unserem Kreis. Und wenn du jetzt sagst, ja, jetzt geht der nächste Kasten schon auf. Welche Daten verarbeitet dir denn? Ja, zum Beispiel die IP-Adresse. Und dann kannst du hier weiter eingeben. ja, wie lange denn zum Beispiel bis zur Zweckerfüllung? Und dann bestätigst du das dann auf den Verarbeitungsort. Und jetzt kannst du hier zum Beispiel eingeben, hey, das ist ja nicht Deutschland, sondern das sind die amerikanischen Jungferninseln. Ingo Dachwitz Wo der Dienst sitzt, oder? Wo der Dienst sitzt, genau. Okay, aber woher weiß ich das als Friseur? Max von Grafenstein Also das müsstest du theoretisch, sagt das Gesetz, das musst du selber rausfinden und dann deine Webseitenbesuche darüber informieren. Und wir versuchen das natürlich alles voreinzustellen. Okay, so automatisiert. Genau, indem wir diese Dienste eben auch einer Risikoprüfung unterziehen aufgrund der Daten, die öffentlich verfügbar sind. Und dann können wir das quasi alles schon voreinstellen, damit die sich da wirklich nur durchklicken müssen. Okay. Und jetzt siehst du schon, dass hier plötzlich das zweite Risikosegment in unserer Risk-Benefit-Ratio quasi auftaucht, Nämlich der Datentransfer außerhalb der EU. Ingo Dachwitz Okay, das kann natürlich insofern auch ganz cool sein, wenn man dann einen Datenschutz, also vielleicht, du hast ja gesagt, ein erzieherisches Moment auch haben oder ein lernendes Moment haben. Wenn ich dann einen Dienstleister einbinde, wo ich sehe, der ist datenschutzfreundlich, dann sehe ich direkt, aha, die Risk-Benefit-Ratio ist positiver und wird vielleicht dann also mehr Menschen dazu bringen, ihm zuzustimmen. Max von Grafenstein Ganz genau. Und damit lösen wir ein zentrales Problem im Datenschutz, meines Erachtens, nämlich, dass aktuell wird es eben nicht positiv belohnt. Und das führt dazu, das ist volkswirtschaftlich mit dem sogenannten Market of Lemons bewiesen aus den 80er Jahren, im Gebrauchtwagenmarkt, haben die das schon festgestellt, wenn du sehr komplexe Produkte hast mit einer hohen Intransparenz, dann werden eigentlich die Schlingel belohnt. Also diejenigen, die halt sagen, hey, das ist ein super Niveau, ist es aber gar nicht. Die Verbraucher kaufen das trotzdem. Und die Wettbewerber, die sich Mühe geben, die jetzt hier viel Ressourcen in ihre Webseite reinstecken, in ihre digitalen Dienste, um die möglichst datenschutzkonform zu machen, die haben da eigentlich das Nachsehen, weil die stecken da viel Ressourcen rein, ohne das irgendwie marktwirtschaftlich quasi belohnt zu bekommen. Kann man natürlich jetzt aus einer reinen Aufsichtsperspektive sagen, ja ist doch egal, hier geht es einfach jetzt nur darum, das Gesetz einzuhalten, aber damit verlierst du das Riesenpotenzial des Wettbewerbs und Jan Philipp Albrecht und Neli Größ hatten es doch damals auch versprochen. In dem Augenblick, wo wir das jetzt endlich transparent machen, können wir, also für den Webseitenbetreiber, für den Hairdresser und das transportieren wir jetzt wiederum über das Cookie-Banner an die Besucher dieser Webseite. Und wir haben in der letzten Studie nachgewiesen, dass die Besucher tatsächlich positiv darauf reagieren, wenn wir jetzt sagen, hey, dieser Hairdresser hat ein besseres Datenschutzniveau als der Durchschnitt. Und wieso? Weil tatsächlich die Verbraucher dann darin mehr Vertrauen entwickeln und unter Umständen sogar zu einer höheren Einwilligungsrate führen. Das mögen natürlich jetzt die Privacy-Schützer nicht hören, aber so funktioniert es. Und damit belohnen wir den Hairdresser und jetzt entsteht auch endlich ein positiver Anreiz bei den Drittanbietern, weil jetzt fangen die bei Tomos und die Googler und so weiter, fangen jetzt auch an. Ja okay, jetzt wo es sich endlich lohnt, weil der Hairdresser meinen Dienst bevorzugt, wenn ich ein höheres Datenschutzniveau habe und damit könnte endlich quasi der marktwirtschaftliche Race to the Top, also der Wettbewerb um die immer besseren privacyfreundlichen Technologien beginnen, der damals von Nilly Größe und Jan Philipp Reibrecht versprochen wurde, meines Erachtens. Ingo Dachwitz Also mehr Transparenz, mehr Vertrauen, mehr Einwilligung und dann auch mehr Möglichkeiten, mit Daten was zu machen, aber eben auf Basis von einer echten informierten Einwilligung. Max von Grafenstein Genau. Und dass es informierter ist, können wir eben auch empirisch messen und nachweisen. Das ist ganz wichtig, dass man da den Leuten kein X für den Ufer macht. Ingo Dachwitz Man müsste jetzt erstmal davon ausgehen, dass es auch eine gewisse Bereitschaft gibt, sich dann damit auseinanderzusetzen und ein paar Klicks zu machen, weil es ja darum geht, das Recht einzuhalten, wenn man eine Website betreibt, oder? Max von Grafenstein Wir denken, wenn wir es mit anderen so klassischen Content Management Anbietern vergleichen, ist es schon sehr nutzerfreundlich gestaltet. Ingo Dachwitz Also auch das Backend für die Website-BetreiberInnen ist im gleichen Design gehalten, relativ viel blau und weiß. Man sieht auch hier diesen Ring mit der Risikoabwägung und man kann dort auch als Website-Betreiber also sehen, okay, welchen Effekt hat das auf diesen Kreis, wenn ich jetzt bestimmte Dienste einbinde und andere Dienste nicht einbinde. Okay, und dann kann ich jetzt hier Additional Website Features einbinden, also weitere sozusagen Zusatzdienste. Kann zum Beispiel sagen, hier, ich möchte Google Maps einbinden und muss dann wohl zugeben, dass sowohl die IP-Adresse als die Location weitergegeben werden. Max von Grafenstein Kannst, du kannst. Also die Location, das hängt natürlich wirklich von den Diensten ab, die du nutzt und den Konfigurationsmöglichkeiten. Also das ist nicht zwingend. Ingo Dachwitz Okay, das ist jetzt alles auf Englisch, ne? Für den deutschen Markt müsstet ihr es wahrscheinlich auf Deutsch machen dann, oder? Max von Grafenstein Genau, das war nur unser Forschungsdemonstrator und da haben wir eben eine europaweite Studie durchgeführt und die war halt auf Englisch. Ingo Dachwitz Okay, gut, das ist natürlich relativ schnell gemacht als NutzerInnen. Was passiert, wenn eine Webseite Zwecke sammelt, die ihr nicht auf dem Schirm habt, wenn die eigene Zwecke erfindet? Max von Grafenstein Also dann kann sie im Cookie-Banner das natürlich anzeigen, weil wir die aber noch nicht im System erfasst haben, gibt es da quasi keine Benefit- und Risk-Zuordnung und das wird dann entsprechend markiert. Also hier passiert folgender Zweck, aber wir konnten quasi keine weiteren Informationen dazu generieren. Und das führt halt dazu, dass es führt zu einer gewissen Rechtsunsicherheit auf Seiten der Betreiber. Und das müssen wir dann mal testen empirisch, wie sich das dann wiederum auf das Vertrauen und die Einwilligungsrate auswirkt. Insgesamt ist das natürlich ein spannendes Gesamtsystem. Also wie reagieren die Leute auf vorhandene Informationen, nicht vorhandene Informationen? Wie muss das jeweils dargestellt werden, visuell, textlich, damit man dann zu nachvollziehbaren Ergebnissen kommt? Ingo Dachwitz Okay, dann kommen wir mal wieder zurück, klappen wir den Laptop zu sozusagen. Danke für die Demo des Prototyps. Vielleicht einmal nochmal grundsätzlich gefragt, an wen richtet sich das Tool? Max von Grafenstein Also es richtet sich einmal an die Verbraucherinnen, die sich diesen Agenten runterladen, implementieren können im Browser, damit die dann eben endlich dieses Einwilligungsmüdigkeitsproblem lösen können. Es richtet sich an Diensteanbieter, jetzt in einem ersten Schritt an Webseitenbetreiber, die das Vertrauen ihrer Webseitenbesuche gewinnen möchten, beziehungsweise auch eine wirklich rechtswirksame Lösung haben wollen. Weil meine Schlussfolgerung aus den letzten Studien ist ja, dass selbst das Best-Practice-Status-Groko-Gibana ist ja nicht informieren, sprich es ist nicht rechtswirksam. Und dann die Dritten sind die Drittanbieter, die wir natürlich prüfen können. Und wenn das jetzt eben Drittanbieter sind, die sich besonders Mühe geben, zum Beispiel, da gibt es ja welche, Dann können wir denen natürlich helfen, Sichtbarkeit zu bekommen, sodass auch dann die Webseitenbetreiber das leichter verstehen und einbauen können bei sich. Und es richtet sich nicht zuletzt an die Regulierer, also auch an den Gesetzgeber und die Datenschutzbehörden, weil wir natürlich versuchen, auch das extreme Vollzugsdefizitproblem dadurch zu lösen. Und wenn wir es schaffen, eben tatsächlich diesen Datenschutz als Wettbewerbsvorteil, wenn wir das wirklich zur Realität machen, dann hätten die hoffentlich weniger zu tun in Zukunft. Ingo Dachwitz Es ist natürlich echt ein großer Pitch, eine gewisse Wette aufs Unbekannte. Du glaubst an das oder ihr glaubt an das Produkt, was ihr da entwickelt habt in mehreren Jahren Forschung. Als Unternehmer, der du ja aber auch bist, gibt es auch ein Geschäftsmodell dahinter oder wie finanziert sich das? Max von Grafenstein Ja, also das war natürlich auch sofort die erste Frage von der Bundesdatenschutzbeauftragten, die diesen Agenten ja akkreditiert. Und da ist jetzt die erste naheliegendste Idee gewesen. Der Agent selbst ist natürlich kostenfrei, also kein Verbraucher würde dafür zahlen. Aber wir versuchen, ähnlich wie eine normalische Content-Management-Plattform, die Cookie-Banner zu einem ziemlich fairen Preis zu verkaufen und das ganze System so querfinanzieren zu können. Ingo Dachwitz Das heißt, die Website-Betreiber müssten euch irgendwie einen kleinen... Max von Grafenstein Einen kleinen Betrag überweisen, ja. Ingo Dachwitz Aber einen Festbetrag oder pro Einwilligung, die sie erhalten haben, Max von Grafenstein das sind ja dann auch nochmal interessante. Ehrlich gesagt haben wir uns überlegt, das ist eine total spannende Frage, weil unsere Primärzielgruppe sind ja jetzt erstmal gar nicht die Webseiten, die quasi diese schwierigen aktuell noch sehr komplexen Zwecke für Online-Werbung zum Beispiel abfragen, sondern eigentlich die 80 bis 90 Prozent anderen Webseiten, die eigentlich völlig unschuldig, entweder weil sie irgendwelche NGOs sind, irgendwelche Vereine oder Behörden oder die Leute einfach nur über ihre Tätigkeiten informieren wollen. Und die brauchen eigentlich höchstens Zweck 1 und 2, also Statistiken zur Verbesserung der Webseite, damit man halt so ein paar Analysen fahren kann, wie viele Leute interessieren sich dafür und dieses Einbinden von Drittdiensten. Das ist unsere Kernzielgruppe. und da suchen wir natürlich Leute, die möglichst viele Besucher haben, um das jetzt auch testen zu können, wenn das deine Frage beantwortet. Ingo Dachwitz Ihr sucht jetzt wirklich konkret, oder? Max von Grafenstein Ja, genau. Und zwar für unsere finale Testphase. Also bevor das jetzt wirklich ganz live geht, wollen wir das jetzt quasi mit einzelnen Webseiten nochmal testen. Und quasi jeder Webseitenbetreiber, der sich jetzt quasi angesprochen fühlt, vor allem, weil er in unsere Primärzielgruppe jetzt reinfällt, mit einer annähernd großen Nutzerbasis, weil wir natürlich irgendwelche kleinen Bugs, kleine Fehlerchen finden wollen. Die sind natürlich herzlich eingeladen, sich bei mir persönlich zu melden. Ingo Dachwitz An welchem E-Mail-Adresse schreiben die? Max von Grafenstein Max.grafenstein.law-innovation.tech. Aber da gibt es auf der Webseite eine Anmeldemaske und da kommt das alles bei mir rein. Und da würde ich dann versuchen, also wenn es wenigstens drei Unternehmen wären oder Webseitenbetreiber, dann kriegen die eine persönliche Tour. Und wir würden das einfach einmal implementieren, vielleicht mal in einem kleineren Bereich testen und die würden das dann natürlich kostenlos bekommen. Das ist ja völlig klar. Und alle anderen, zum Beispiel auch Drittdienstanbieter, die sich denken, hey, das ist genial. Endlich hilft mir mal jemand irgendwie zu zeigen, was ich kann, weil sie sich Mühe geben. Auch die sind natürlich herzlich eingeladen und wir versuchen die dann sofort in unser Rating-System zu integrieren und die dann entsprechend zu promoten. Ingo Dachwitz Okay, das heißt ihr seid auf jeden Fall auf der Suche nach Beta-Testern. Max von Grafenstein Ganz genau. Ingo Dachwitz Auf unterschiedlichen, okay. Was ist denn eigentlich der rechtliche Rahmen, in dem so Einwilligungsdienste stattfinden? Max von Grafenstein Primär natürlich die DSGVO, soweit es einfach um die Einwilligung und die Bedingungen der Einwilligung geht, wie die ausgestaltet sein muss. Wenn es jetzt um die Frage geht, ob eine Einwilligung erforderlich ist oder eine andere Rechtsgrundlage auch funktioniert, dann sind wir natürlich bei vielen Diensten, jetzt vor allem bei Websites und wenn man eben Cookies setzt oder irgendwelche anderen Informationen aus dem Browser ausliest, im Anwendungsbereich der E-Privacy-Richtlinie. Das ist ja eine Richtlinie, die muss dann immer von den einzelnen Mitgliedstaaten der EU umgesetzt werden in nationales Recht. Das ist in Deutschland zuletzt durch das TDDDG geschehen. Datenschutzrecht ist einfach toll. Wo steht das? Telemedien, Teledien? Also Datenschutz ist auf jeden Fall am Schluss noch drin. Ich weiß es nicht. TDDDG. Und Teledienste, Daten und am Schlussgesetz und das dritte D weiß ich nicht. Okay, also auf jeden Fall. Und da gibt es eine Extra-Regelung, ein nationaler Alleingang oder erstmal sehr progressiv ein vielleicht Vorbildfunktion, weil die haben in § 26 Einwilligungsagenten zusätzlich geregelt. Das gibt es in der DSGVO und in der Privacy-Richtlinie eigentlich nicht und auch in sonst keinem anderen EU-Gesetz. Und da stand eigentlich drin, dass Diensteanbieter die Signale von Einwilligungsagenten berücksichtigen müssen. Und damit dann natürlich jetzt kein Schindluder getrieben wird auf Seiten der Einwilligungsagenten, müssen die sich einem Anerkennungsverfahren quasi unterziehen, um diese Rechtsfolge quasi auslösen zu können. Und die zuständige Behörde dafür ist eben die Bundesdatenschutzbeauftragte. Und da ist es tatsächlich in dem Akkreditierungsprozess drin. Ingo Dachwitz Man hat da also rechtlich quasi etwas vorgedacht oder eine Möglichkeit für etwas geschaffen, das es noch gar nicht gibt oder gab. Ihr seid dann jetzt wahrscheinlich die Ersten damit. Ich habe vor unserem Podcast einmal bei der Bundesdatenschutzbeauftragten bei der Pressestelle angefragt, habe gefragt, wie viele haben sich denn da schon beworben auf eine Akkreditierung als Einwilligungsagent? Und die Antwort war, eine Anmeldung gab. Die haben nicht gesagt, sind natürlich alles Datenschutzfreunde, die haben nicht gesagt, wer das ist. Ich vermute mal, das war ihr. Das sind wir, ja. Max von Grafenstein Okay. Dann sind wir offensichtlich die einzigen. Ja, interessant. Bislang auf jeden Fall, ja. Ingo Dachwitz Okay, DSGVO gibt es jetzt seit acht Jahren. Nee, was? Ja doch, 2018. Sieben Jahren. Auch davor haben wir schon immer ein Katz-und-Maus-Spiel erlebt. Diese Industrie, die Datenindustrie, wenn man sie jetzt mal so, oder Online-Werbeindustrie ist es ja eigentlich, hat ja jahrelang daran gearbeitet, jegliches Vertrauen zu verspielen. Weil sie eben gezeigt haben, sie haben gar kein Interesse daran, das sozusagen den Willen der NutzerInnen zu beachten, oder? Weil es gab sowas wie Do Not Track, haben wir vorhin schon mal gesprochen, ein technischer Standard, der entwickelt wurde, der war natürlich nicht granular, kannst du jetzt einwenden, sondern der hätte gesagt, ich möchte einfach nicht getrackt werden. Zack, nein, so, das haben die ignoriert. Es gab Ideen mit der E-Privacy-Verordnung, diese E-Privacy-Richtlinie, die du angesprochen hast, die ist ja von 2002, so, und in den 2000er-Jahren dann nochmal irgendwie neu sozusagen ist das Cookie-Thema hinzugekommen. Aber die sollte wirklich in einem wahnsinnig langen und aufwendigen Prozess reformiert werden, sollte eigentlich schon als Schwester zur Datenschutz-Grundverordnung in Kraft treten oder zumindest verabschiedet werden und ist unter unfassbarem Lobbyfeuer aufgehalten worden. Weil auch dort Regeln möglich gewesen wären, die gesagt hätten, NutzerInnen sollen ganz leicht zum Beispiel über einen Browser angeben wollen, von wem sie getrackt werden wollen und nicht. Fand die Industrie nicht gut. Das heißt, dann haben jetzt nicht nur die klassische Datenindustrie, Google und so weiter, die großen Tracking- und Werbefirmen, sondern in einer unheiligen Allianz gemeinsam mit deutschen Presseverlagen, die ja sonst nicht müde geworden sind, auf die großen Tech-Konzerne aus Übersee einzuhauen, haben sich dann zusammengeschlossen und lobbyiert dagegen, weil auch die deutschen Presseverlager gesagt haben, huch, dann bekommen wir vielleicht weniger Werbung, Werbeeinwilligung und damit weniger Werbegeld. dass es sozusagen diese Möglichkeit gibt im Rahmen der E-Privacy-Verordnung, wie sie mal angedacht war, den NutzerInnenwillen durchzusetzen. So, und sie entwickeln immer neue technische Möglichkeiten, Browser-Fingerprinting, wenn die Cookies nicht mehr funktionieren. Also es ist so ein Katz-und-Maus-Spiel eigentlich. Und die Industrie hat alles dafür getan, das Vertrauen zu verspielen, würde ich jetzt erstmal sagen. Und dann hinzugehen und zu sagen, na bitte, lieber deutscher Gesetzgeber, du kannst jetzt aber nicht uns vorschreiben, dass wir Einwilligungsdienste zulassen müssen, weil dann könnten ja die NutzerInnen sagen, dass sie nicht getrackt werden wollen, ist natürlich echt problematisch. Max von Grafenstein Also ich finde es so einfach, also jein, aber ganz so einfach ist es nicht, sondern man kann es schon ein bisschen differenzierter betrachten und da gibt es drei Aspekte. Und das ist natürlich dann das Interessante, weil das ist genau das, was du in der Forschung machst. Du schiebst die Grenzen des Wissens einfach nochmal einen signifikanten Schritt so weit, damit du endlich ein Praxisproblem lösen kannst. Und das sieht man zum Beispiel, dass das Wissen nicht da war, sieht man zum Beispiel an den Lösungen, die so aus dem offiziellen Raum kamen, also aus dem behördlichen Raum. Zum Beispiel es gibt diese Cookie-Banner-Initiative, finanziert vom BMJV, vom Justizministerium damals, dann durchgeführt durch Content Policy. Dann hat man sich eben bemüht, da quasi so Best Practices zu etablieren. Dann die KNIL, die französische Datenschutzbehörde, hat sich endlich mal getraut, sich so weit aus dem Fenster zu legen und nicht nur zu sagen, guck mal, das ist alles schlecht, sondern wirklich mal ein konkretes Template ebenfalls vorzulegen, wie auch diese Cookie-Bunnen-Initiative in Deutschland. Dann, wenn man sich anguckt, die Cookie-Pledge-Initiative von der EU-Kommission, was die vorschlagen konkret. Und man merkt halt jedes Mal, das ist einfach total schlecht. Das führt nicht dazu, dass die Leute das verstehen. Ingo Dachwitz Allerdings sind doch bei der vom BMJ initiierten Initiative doch auch Unternehmen dabei gewesen, oder? Max von Grafenstein Ja. Ingo Dachwitz Die hätten, Deutsche Telekom, meine ich, war dabei und so, hätten die nicht dann dafür sorgen können, dass es sozusagen gut ist? Max von Grafenstein Nee, weil also schlecht, das ist auch, glaube ich, ein viel zu hartes Urteil. Natürlich war das Bemühen da, aber es führte nicht dazu und es lag jetzt nicht an der Wirtschaft, dass die Transparenz am Ende immer noch nicht hergestellt wird, sondern weil man einfach nicht weiß, wie man diese komplexen Zusammenhänge, allein schon das rechtliche Klein-Klein, so einfach darstellt, darstellt, dass das eine Person, eine Verbraucherin quasi im Augenblick, wo sie bestimmt kein juristisches Klein-Klein lesen will, weil sie eben diese Webseite besucht, sofort intuitiv versteht. Das ist einfach extrem anspruchsvoll. Und uns hat es zehn Jahre Forschung gekostet, um so weit zu kommen. Und deswegen muss man die Leute quasi wirklich erstmal in Schutz nehmen. Dann ist der zweite Aspekt, dass natürlich hängt es dann davon ab, werden diese Einwilligungsprozesse ausgestaltet. Und da ist es ja dann schon immer wieder interessant zu sehen, welche Rolle die Browser oder die größeren Silicon Valley Tech-Unternehmen spielen und die übrige Medienlandschaft in Europa. Und das ist ja ein gewaltiger Machtkampf, der da eigentlich stattfindet, Weil ein großer Teil der Wertschöpfung, die quasi durch die Inhalteproduktion hergestellt wird, also wenn ich jetzt einfach den Journalismus nehme, das war immer ein Zwei-Säulen-Modell. Man hat immer Geld für die Zeitung am Kiosk ausgegeben und dann gab es da noch den Anzeigenteil und das war die zweite Säule. Und jetzt mit dem Internet ist quasi das Geldverdienen weggefallen. Jetzt kommt es so langsam wieder, Subscription über das Pay-or-OK-Modell, nochmal eine ganz andere Kiste. Und die Wertschöpfung durch Werbung ist wirklich zu wesentlichen Teilen, wird natürlich jetzt durch diese großen Plattformen abgeschöpft. Und das bedeutet, dass die ursprüngliche Medienlandschaft extrem ökonomisch unter Druck steht. Und jetzt geht es darum, zu verstehen, dass wenn eine Do-No-Track-Initiative zum Beispiel, so gut die gemeint ist, wenn das jetzt total einfach ist für die Nutzer, da das Tracking auszustellen, dann ist es natürlich ein Riesenproblem für die Medienlandschaft, die aber auf die Einwilligung quasi angewiesen ist, weil das eben Teil dieses Werbemodells ist. Aber man muss schon auch verstehen, dass die Browser oder die großen Silicon Tech davon nicht abhängig sind, weil die sind ja so horizontal und vertikal integriert, die können das alles selber. Die finden irgendwo irgendwelche Touchpoints, wo sie ihre Einwilligungen kriegen. Ingo Dachwitz Das heißt, da entsteht auch noch ein riesiges Wettbewerbsproblem. Da sind die NutzerInnen dauerhaft eingeloggt. Man könnte jetzt natürlich, da sprechen wir an anderer Stelle, weil das hier den Rahmen sprengen würde, noch über andere Werbemodelle sprechen. Also es gibt ja auch die Idee von kontextbasierter und nicht nur Idee, sondern teilweise auch Praxis von kontextbasierter Werbung, die nicht personalisiert sein muss sozusagen, wo es dann gar keine umfassende Einwilligung für braucht, weil es gar nicht sozusagen umfassende Datensammlungen gibt. Max von Grafenstein Aber es wird alles getan, um den Nutzer bloß nicht selbst überprüfen und vergleichen zu lassen, ob die Werbung wirklich relevanter wird. Und deswegen ist es so wichtig, wir haben auf diesem jetzigen Concentre-Forschungsprojekt, was ja vom Forschungsministerium gefördert wird, noch ein zweites Projekt, was ebenfalls vom Forschungsministerium gefördert wird, wo wir genau dieses Problem adressieren, wo wir letzten Endes die Vorgaben der Entscheidung der belgischen Datenschutzbehörden zum TCF und zwar nach bestem Wissen und Gewissen quasi umsetzen, indem wir die Verbraucher, wenn sie jetzt nicht sagen, du, ich will überhaupt keine personalisierte Werbung, es gibt erstaunlich viele, die sagen, eigentlich fände ich es gut, wenn es die Werbung wirklich relevanter machen würde, zu den Ownern ihrer eigenen Werbeprofile machen. Und das tun wir auf eine Art und Weise, dass du dann, das kommt dann erst nächstes Jahr, in der Lage wärst, durch ein einfaches An- und Ausschalten im Hintergrund siehst, wie sich die Werbung verändert, je nachdem, ob es jetzt kontextbasiert oder profilbasiert oder kohortenbasiert ist. Und du wärst in der Lage, bei der kohorten- und profilbasierten Werbung deine Interessen selber einzuschalten. Du kannst selber kontrollieren, was du möchtest. Das führt mich sozusagen so ein bisschen zum, Ingo Dachwitz wir kommen langsam zum Schluss, das führt mich so ein bisschen zu meiner grundsätzlichen Frage. Ihr setzt natürlich sehr stark auf die individuelle Freiheit und Verantwortung. In dem Sinne setzt ihr das um, was die Datenschutz-Grundverordnung ist, ja wirklich im besten Sinne sozusagen eine liberale Verordnung. Die verbietet gar nichts. Also warum auch immer alle Sturm gelaufen sind sozusagen im Rahmen einer riesigen Lobbykampagne und das ja auch heute wieder tun, die Datenschutz-Grundverordnung verbietet nichts, sondern sie ermöglicht tendenziell jegliche Form der Datenverarbeitung. Sie setzt eben nur bestimmte Regeln fest. Ja, sie sagt irgendwie, Datenverarbeiter müssen sich an bestimmte Dinge halten, müssen vielleicht ein Datenverarbeitungsverzeichnis haben, müssen sich selbstständig bewusst machen, welche Daten sie haben, müssen eine Risikoeinschätzung vornehmen, vielleicht auch eine Datenschutzfolgenabschätzung, müssen Betroffenen Rechte gewähren, Auskunftsrechte. Die Individuen, die NutzerInnen sozusagen, die Datensubjekte, die Betroffenen haben die Möglichkeit, ihre Betroffenenrechte zu nutzen, ihre Datenspuren zu managen. So ist der Grundgedanke, also auch im Blick zu halten, wem gebe ich jetzt eine Einwilligung, wem gebe ich nicht. Es ist eine wahnsinnige Last auch, die sozusagen dem Individuum aufgebürdet wird damit. Und ich frage mich so ein bisschen, ob es nicht eine Überforderung des Individuums ist. Ihr versucht es so einfach wie möglich zu machen. Das ist so ein bisschen meine Grundfrage. Neben der anderen Grundfrage, dass ich glaube, dass die Datenindustrie kein Interesse daran hat, dass echter Nutzerwille umgesetzt wird. Das ist, glaube ich, mein einer Kritikpunkt. Das eine große Problem. Das andere ist die Last, die dem Individuum aufgebürdet wird. Leute müssen auch Lust haben, müssen auch Zeit haben, müssen auch Fähigkeiten haben, sozusagen zu den Managern ihrer Datenspuren zu werden. Du hast es eben so scherzhaft gesagt. Man sieht dann all seine Einwilligungen, die man verteilt hat im Laufe der letzten Jahre. Aber das heißt, man kann dann auch sehr, sehr lange scrollen. Max von Grafenstein Ja, also wenn du uns wieder rufen. Im besten Fall kann man es dann auch wieder rufen. Ingo Dachwitz Aber man muss dann auch merken, okay, diese Webseite, der möchte es jetzt nicht mehr geben. Oder die benutzten Dienstleister, der hat sich jetzt gerade verschlechtert. Oder ich möchte jetzt einen Protest gegen Google machen oder gegen Meta oder was auch immer. Max von Grafenstein Genau, weil die irgendwas machen, wo du halt nicht mehr einverstanden bist. Ingo Dachwitz Das ist natürlich dann möglich, aber es ist sehr voraussetzungsvoll. Max von Grafenstein Also erst mal jein, und zwar in doppelter Hinsicht jein. Ich finde, es ist nicht nur für die Verbraucher erst mal voraussetzungsvoll, sondern auch für die KMUs. Ingo Dachwitz Deine mittelständische Unternehmen? Max von Grafenstein Ganz genau, weil also ich bin ganz bei dir, dass die Datenschutzgrundverordnung im Grunde überhaupt nichts verbietet, sondern im Gegenteil steht in Artikel 1, Absatz 1 oder 2 steht ausdrücklich drin, es geht um the free flow of data, aber das soll dazu gemacht werden, dass quasi die autonome ausübende Grundrechte quasi nicht unterlaufen wird durch die opake Datenverarbeitung. Aber durch die ganzen Anforderungen entsteht so eine regulatorische Last und die Unternehmen sind ja auch quasi in der Bringschuld. Es wird erstmal vermutet, dass es quasi nicht in Ordnung ist und dann musste liefern. Und das ist für, also empirisch nachgewiesen in ökonomischen Studien, das ist für die Großen natürlich überhaupt kein Problem. Das heißt, wenn da irgendwie ein großes Unternehmen rumjammert, dann ist das natürlich lächerlich, aber für die KMUs ist das eine extreme Last. Und jetzt versuchen wir es für diese beiden Gruppen, nämlich für die KMUs und die Verbraucher, so einfach zu machen, dass es eben sehr wohl funktioniert. Und das Ganze mag natürlich am Schluss vielleicht sogar scheitern. Ich glaube es nicht. Aber mir war es wichtig, ich komme halt aus der Forschung einfach und ich habe diesen Entwicklungsspielraum gesehen und habe mich geärgert, dass der einfach nicht genutzt wird. Habe aber dann auch verstanden, woran das liegt, weil das so aufwendig war. Da gab es so viele Grundlagenfragen, die erstmal geklärt werden mussten, dass du eben erstmal sechs Jahre Grundlagenforschung betreiben musst, bis du dann überhaupt in der Lage bist, verständlichere Systeme aufzubauen. Und deswegen glaube ich nach wie vor, ich bin grundsätzlich positiv denkender Mensch. Aber wenn sich dann in zwei Jahren irgendwann herausstellt, das funktioniert einfach nicht, dann komme ich gerne nochmal zu dir rein und sage, du Ingo, hast recht gehabt. Jetzt mache ich was anderes. Ingo Dachwitz Ich drücke euch auf jeden Fall die Daumen, aber das vielleicht als letzte Frage. Die Datenschutz-Grundverordnung ist ja durchaus auch unter Druck. Also sowohl in Deutschland der Bundeskanzler, damals nur CDU-Chef und Kanzlerkandidat, ist sozusagen angetreten mit, das ist alles viel zu viel. Und das muss weniger werden. Auch auf der europäischen Ebene der Europäischen Union gibt es Debatten darum. Wir dürfen gespannt sein, was es an Gesetzesvorschlägen gibt, die DSGVO aufzubohren, zurückzunehmen in Teilen, also auch auszuhöhlen. Was macht die Hoffnung, dass ihr nicht zu spät seid? Max von Grafenstein Also, dass wir kommen, ist wirklich in allerletzter Sekunde. Das sehe ich auch so. weil man, also wir entwickeln ja quasi erstmal einen Forschungsdemonstrator, um zu beweisen, dass bestimmte Funktionen oder in der Praxis tatsächlich funktionieren. Und das ist extrem wichtig, weil vielen Akteuren in der Gesetzgebung, im Vollzug, aber auch in der Wirtschaft überhaupt die Vorstellungskraft fehlt, sich vorstellen zu können, dass es funktionieren kann. Und jetzt ist es aber schon so, dass man gesetzgeberisch schon noch einiges nachlief, also unterstützen kann. Und da muss man aber unterscheiden zwischen dem materiellen und vielleicht eher dem prozeduralen Recht. Und am Anfang wurde die Debatte so geführt, quasi die inhaltlichen Anforderungen weiter zurückzuschrauben. Das habe ich für ein Irrtum, also für ein Missverständnis seitens des Gesetzgebers gehalten, weil die materiellen Anforderungen sind eh so, das sind ja alles Grundsätze und Prinzipien, die lassen ja eh so wahnsinnig viel Umsetzungsspielraum. Das Problem ist eigentlich die Rechtsunsicherheit. Und die Rechtsunsicherheit kriegst du, wenn du eben die Innovationsoffenheit bewahren willst und jetzt nicht zurück willst in eine präzise Konditionalnormlandschaft oder Gesetzgebung, wenn du sagst, das geht halt einfach nicht, dann kriegst du die Rechtssicherheit über die Verfahren, also über das prozedurale Recht hin. Und da muss die komplette Aufmerksamkeit jetzt der Debatte hin. Da geht die auch hin. Und wir wissen, diese ganzen Abstimmungs-, die ganzen Kohärenzverfahren zwischen den Behörden, zwischen, nicht nur in Deutschland mit den Datenschutzbehörden, auch zwischen Datenschutz- und Wettbewerbsbehörden und so weiter. Der ganze Vollzug und die Umsetzung, das muss extrem viel effizienter werden. Und zwar so, dass quasi die Einhaltung des materiellen Rechts auch für den Friseurladen um die Ecke einfach nur ein paar Klicks sind. Sodass sich das quasi kostenmäßig machen lässt. Und das ist eben, wo wir reingehen. Ingo Dachwitz Okay, also ich drücke euch die Daumen. Ich lasse mich gerne vom Gegenteil überzeugen. Es würde mich ja tatsächlich freuen, wenn ich Ihre an der Stelle. Wir sprechen uns in zwei Jahren wieder und wenn bis dahin ihr nicht Erfolg hattet oder ein anderer Einwilligungsdienst ist ja auch möglich, dann sprechen wir darüber, wie wir Verbote umsetzen. Danke, dass du vorbeigekommen bist. Danke, dass du uns den Konzenter vorgestellt hast. Danke, liebe HörerInnen, dass ihr dabei wart. Noch einmal der Reminder. Wir suchen Beta-Tester, also vor allen Dingen Websites, die Lust haben, den Konzenter mal einzubinden und das auszuprobieren. Und wir bei Netzpolitik.org. Werbeblog muss natürlich dann schon auch noch sein. Suchen immer SpenderInnen. Dieser Podcast ist wie alles, was wir bei Netzpolitik.org machen. nicht über Werbung finanziert, sondern über Spenden. Wir werden ausschließlich von unseren LeserInnen und HörerInnen finanziert. Wenn ihr uns unterstützen könnt, dann freuen wir uns, wenn ihr es tut. Eine Spende ist auch eine Art Soli-Abo, dann ermöglicht ihr auch die Nutzung unserer Inhalte für Personen, die es sich nicht leisten können. Das ist sehr nett von euch. Es gibt natürlich auch noch andere Mittel und Wege, uns zu unterstützen. Ihr könnt diesen Podcast weiter verbreiten. Ihr könnt ihn gut bewerten, damit die Algorithmen auf den Podcast-Plattformen ihn auch finden und weiterempfehlen. Und ihr könnt dranbleiben. Bis zum nächsten Mal. Ciao. Ciao. Vielen Dank. Musik