Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
#11 - Achtung DSGVO! Showstopper für NoCode? - mit Madeleine Heuts
197 Plays5 years ago
Die Datenschutz-Grundverordnung sorgt dafür, dass persönliche Daten von Menschen in der EU besser geschützt sind. Was aber hat das für Auswirkungen auf die Nutzung von Tools, deren Anbieter aus Drittländern wie den USA bereitgestellt werden?
Wir haben mit Madeleine Heuts, Gründerin und Geschäftsführerin von Raketenstart gesprochen und sie mit diesen und noch einigen anderen Fragen gelöchert.
Mit Raketenstart schafft sie eine digitale Rechtsabteilung für Gründer, Startups und Selbstständige.
Mehr zu Raketenstart: https://raketenstart.de
Mehr zu Madeleine: https://www.linkedin.com/in/madeleineheuts/
Recommended
Transcript
Einführung und Vorstellung des Gastes
00:00:00
Speaker
Herzlich willkommen zum Visual Makers Podcast. Ich bin Alex. Und ich bin Lilith. Wir unterhalten uns jede Woche über Themen rund um No-Code.
00:00:12
Speaker
Wir freuen uns sehr, heute Madeleine Holz im Podcast begrüßen zu dürfen. Sie ist Gründerin und Geschäftsführerin von Raketenstaat und vom Creatorsloft, in dem Madeleine und ich gerade sitzen, coronakonform.
Madeleines Weg von der Juristerei zu Raketenstaat
00:00:26
Speaker
Wir kennen uns schon lange, aber stell dich doch gerne noch mal kurz selber vor. Hallo!
00:00:30
Speaker
Das stimmt, wir kennen uns tatsächlich schon eine Weile und haben viele verschiedene Stadien miteinander mitverfolgt. Vielen lieben Dank für die Einladung. Ich freue mich sehr, hier zu sein, obwohl du eigentlich hier bist. Aber wir haben ja auch den Alex noch virtuell dabei dazu geschaltet. Ich bin Madeleine, ich bin die Gründerin von Raketenstaat, ich bin 27 Jahre jung noch und Juristin.
00:00:57
Speaker
Und irgendwie bin ich vom rechten Juristenweg abgekommen und bin in meinem eigenen Start-up gelandet. Man hat mich also nicht dafür entschieden, in die Großkanzlei zu gehen, sondern mich der Digitalisierung verschrieben. Und bei Raketenstadt digitalisieren wir.
Tools zur Digitalisierung rechtlicher Dienstleistungen
00:01:12
Speaker
Recht für Gründer, Start-ups und Selbstständige. Wir bauen gerade eine digitale Rechtsabteilung, wo man alle rechtlichen Themen, die im Unternehmen so relevant sind, erst einmal selbst lernen kann, was ja auch immer ein großer Punkt ist. Dann bauen wir verschiedene Tools, dass man das Recht auch selbst anwenden kann.
00:01:28
Speaker
Unter anderem einen Vertragsgenerator, wo man das Wissen zum Beispiel, sagen wir mal, was kommt in den Gesellschaftsvertrag rein, was man gerade in der Academy gelernt hat, kann man dann direkt den Gesellschaftsvertrag, den man möchte, auch generieren. Und dann bringen wir die Leute noch mit den passenden Experten zusammen, um vielleicht auch zu verhandeln mit Mitgründern, mit Investoren.
No-Code Tools Auswahl – Rechte und Datenschutz
00:01:44
Speaker
Und das geht dann alles über unsere Plattform und es macht sehr, sehr viel Freude.
00:01:48
Speaker
Sehr schön. Wir kommen ja aus dem No-Code-Bereich, also offensichtlich machen wir alles mit No-Code und da geht es ja viel darum, dass man verschiedene Tools miteinander verknüpft oder verschiedene Tools auch nutzt. Kannst du uns sagen, was man so bei der Auswahl von Tools generell beachten muss?
00:02:09
Speaker
Ich glaube, der erste Punkt, mit dem man sich beschäftigen sollte, ist erstmal, was möchte ich mit meinem Tool, das ich gerade verwenden will, überhaupt erreichen? Weil man natürlich auch mit No-Code viele eigene Produkte bauen kann und es dementsprechend natürlich auch sehr relevant ist, was ich nachher mit dem Tool dann machen darf. Und gerade wenn du andere Plattformen nutzt, um ein Tool zu bauen, gibt es zum Beispiel das Thema Nutzungsrechte. Sagen wir mal, du möchtest dein gebautes Tool dann weiterverkaufen.
00:02:36
Speaker
Darf ich das überhaupt oder verbietet die Plattform, mit der ich das Tool gebaut habe, das vielleicht?
Datenschutzbestimmungen – Privacy Shield Diskussion
00:02:40
Speaker
Das ist zur Frage Nummer eins. Und ich glaube, die zweite große Frage, die man sich natürlich stellen muss, und das ist ja ein Lieblingsthema von jedem, der sich im Internet bewegt, das ist der liebe Datenschutz.
00:02:52
Speaker
Und gerade wenn es darum geht, dass in den Tools personenbezogene Daten natürlich verarbeitet werden, muss man sich Gedanken machen, dass man natürlich die Regeln, die dafür gelten, einhält. Und jetzt mal abgesehen vom Wirtschaftlichen, was natürlich Pricing und was bringt mir das Tool und so angeht, sind das wie auch bei einer Gründung eigentlich rechtliche Themen, die man halt vorab einfach schon mal abwägen sollte, weil es halt super ärgerlich ist, wenn du nachher feststellst, dass du bestimmte Probleme hast und dann das Tool, was du schon gebaut hast, gar nicht nutzen darfst.
00:03:21
Speaker
Ja, gerade bei den No-Code-Anbieter gibt es ja zumeist eigentlich in den USA und da werden halt super viele Tools bereitgestellt von denen und da gab es ja das Privacy Shield Agreement zwischen den USA und der EU. Kannst du mal so ein bisschen die Hintergründe erklären, wozu es eigentlich da war und warum das Ganze gekippt worden ist?
00:03:42
Speaker
Klar, gerne. Das Lustige ist das Privacy Shield, ist schon das zweite Abkommen, was gekippt wurde, um weltweit so ein bisschen den Datenaustausch zu ermöglichen. Es ist ganz spannend, weil wir natürlich die meisten großen Firmen und Tools, die wir so kennen, kommen natürlich aus den USA.
00:03:58
Speaker
Und viele Menschen denken gar nicht darüber nach, dass Datenschutz in dem Sinne eine große Rolle spielt, weil man einfach davon ausgeht, das nutzt ja jeder. So, warum sollte ich das nicht nutzen dürfen? Und eine Zeit lang war das natürlich durch das Privacy Shield auch klarer. Tatsächlich hatte sich aber gerade in dieser Juristenszene schon angebahnt, dass es da halt einfach Probleme gibt, weil ein Privacy Shield zum Beispiel einfach ein Abkommen ist, wo sich bestimmte Staaten versprechen, dass sie sich an diese Regeln halten werden.
00:04:25
Speaker
Es ist halt kein Gesetz, sondern es ist quasi ein Vertrag, der zwischen den ganzen Staaten zustande kommt und bildlich kann man sich das so vorstellen. Lilith ist jetzt mal in Deutschland, ich bin jetzt mal in die USA und Lilith sagt, ja, wir finden Daten schon super wichtig. Findest du das auch in den USA? Und dann antworte ich natürlich, sehe ich ganz genau so, also ich verspreche dir, ich halte mich an deine Regeln.
00:04:48
Speaker
Und dann sagt Deutschland, das machen wir so, lasst sie unterschreiben. Dann haben sie es unterschrieben. Dann hat Deutschland aber dann doch ein bisschen Misstrauen, weil es gab da so ein paar mediale Ereignisse, sag ich jetzt mal.
00:05:02
Speaker
wo dann doch so ein bisschen Zweifel an den Versprechen der USA bestanden. Ich möchte jetzt natürlich keinen Namen nennen, Google oder Facebook. Und da hat sich Deutschland dann oder die EU natürlich gedacht, okay, da denken wir jetzt nochmal genauer drüber nach und genauso ähnlich ist es dann auch abgelaufen. Der EuGH hat sich dann damit beschäftigt und festgestellt, ja gut,
00:05:24
Speaker
Das, was die amerikanischen Behörden da zum Teil machen, dass die wirklich WhatsApp-Verläufe prüfen oder was auch immer, das entspricht natürlich nicht dem europäischen Datenschutzstandard, der da implementiert werden sollte. Und natürlich ist das schön, wenn man dann so ein Abkommen hat, wo man sich gegenseitig verspricht, dass man sich bemüht, es einzuhalten, ist aber, merkt man selber, nicht so richtig bindend. Und dann hat der EuGH halt gesagt, okay, das reicht nicht aus, um den Standard festzusetzen, das ist halt wirklich nur so eine Art Versprechen. Und dementsprechend kippen wir das jetzt einfach.
00:05:54
Speaker
Und das hat dann natürlich sehr, sehr große Panik ausgelöst. Und tatsächlich ist es auch immer noch so, dass es eigentlich, wenn es ein amerikanisches Tool ist, da muss man natürlich noch mal unterscheiden, wo stehen die Server, wo es gehostet wird. Aber wenn es ein amerikanisches Tool ist, was tatsächlich die Daten aus Deutschland ins Ausland übermittelt, dass es ein Problem ist und dass es auch immer noch keine Lösung gerade gibt,
00:06:17
Speaker
wie das geregelt werden soll. Es gibt keine Basis, auf die man sich stützen könnte, dass man es rüberschickt.
Datenhosting in Europa und Vertragspflichten
00:06:23
Speaker
Klar, es wird jetzt gerade versucht, sich über bestimmte Klauseln in Verträgen, Standardklauseln zu helfen. Aber auch da ist man sich eigentlich in der Juristerei sehr einig, dass auch das nicht reicht. Das ist auch wieder nur ein Versprechen, was du vertraglich machst. Und man muss eigentlich, und da zieht auch langsam die USA nach. In Kalifornien gibt es zum Beispiel schon das CCPA, das ist der Californian Privacy Act. Und ...
00:06:46
Speaker
Da kommen so die ersten Bestreben auf Basis der DSGVO und des GDPR-Abkommens oder des Gesetzes auch weltweit diese Standards zu implementieren. Und ich glaube, Brasilien ist schon nachgezogen und Japan zieht langsam nach und ganz viele weitere Länder. Und da muss jetzt natürlich erst mal eine Grundlage geschaffen werden, damit man weltweit wieder gut mit Daten arbeiten kann. Aber grundsätzlich lässt sich halt sagen, wenn man halt überlegt, nutze ich dieses Tool und man sieht halt, die Daten werden
00:07:14
Speaker
in Drittländer, die nicht EU sind, quasi abgeführt, dann ist es halt ein Problem und dann sollte man eigentlich sich bemühen, wenn man datenschutzkonform sein möchte. Das ist natürlich auch immer eine wirtschaftliche Überlegung, muss jeder für sich entscheiden. Ich persönlich finde, es
00:07:29
Speaker
ist auch ein Wettbewerbsvorteil, sagen zu können, hey, gerade bei B2B, meine Daten, die hier erhoben werden, liegen in Deutschland, die sind safe, höchster Datenschutzstandard, der geht. So, das sollte eigentlich normal sein, weil es die Gesetzheit gibt. Aber es ist natürlich auch ein Wettbewerbsvorteil, weil das gerade im B2B-Kontext natürlich mega relevant ist. Wenn das hochsensible Daten sind, oder auch wenn man jetzt für die öffentliche Verwaltung Dinge abwickeln will, ist es natürlich mega, wenn du sagen kannst, wir haben den höchsten Sicherheitsstandard, den es gibt.
00:07:54
Speaker
Aber das muss man sich natürlich vorher überlegen. Und eigentlich kann man generell sagen, jedes Tool, sei es Mailchimp, sei es Airtable, da hatte ich sogar gelesen, dass nicht mal so ganz bekannt ist, wo die Server von Airtable stehen. Das ist immer ein Problem, solange es nicht klar ist, die werden in Europa gehostet. Also kann ich immer nur versuchen, quasi zum jetzigen Zeitpunkt es so gut wie möglich zu machen. Und weil jetzt einfach so viel unklar ist.
00:08:21
Speaker
Also wenn man auf Nummer sicher gehen will, sollte man einfach gucken, dass man halt die Daten einfach in Europa haustet. Weil hier halt die Gesetzeslage verpflichtet und drüben halt nicht. Und das ist halt der Unterschied, ob dich ein Gesetz zu Datenschutz verpflichtet oder ob ein freiwillig unterschriebenes Abkommen dich verpflichtet. Weil ein Gesetz natürlich durchgesetzt werden kann, viel, viel eher durch einen Staat.
00:08:41
Speaker
Da macht natürlich Europa immer noch viel zu wenig, weil es tauchen natürlich trotzdem viele Datenskandale auf. Man merkt es immer wieder. Facebook-Nutzerdaten im Internet veröffentlicht. Man hört es ja immer wieder. Und langsam hat sich das auch in den Köpfen der Leute verankert, dass es halt ein wichtiges Thema ist. Und das wird in den nächsten Jahren
00:08:58
Speaker
wettbewerbsentscheidend sein, weil das Bewusstsein der Leute halt so stark gewachsen ist, ob es halt datenschutzkonformes Tool ist oder halt nicht. Und das ist auch eine riesen Chance für Startups, die sich halt hier in Deutschland, Europa gründen wollen, halt die Daten hier zu hosten, auch für amerikanische Kunden, bei denen natürlich auch was daran gelegen ist. Klar, es ist dann natürlich ein bisschen teurer vielleicht, aber es ist halt ein super Argument, weil es halt einfach so ein wertvolles Gut eigentlich ist. Ja.
00:09:22
Speaker
Und nochmals zur Klarstellung, die AVV-Verträge, so Auftragsverarbeitungs... Auftragsdatenverarbeitungsverträge. Genau das. Und das englische Pendant, DPAs sind, also das sind quasi auch nur so Versprechen letzten Endes.
00:09:42
Speaker
Das sind auch Verträge und Verträge kommen ja grundsätzlich immer zwischen zwei zivilen Parteien zustande. Ein Gesetz wirkt aber ja von einem Staat gegen den Bürger. Das ist eigentlich der elementare Unterschied, dass es halt zivilrechtliche Absprachen einfach sind. Das Thema AVV ist nochmal was anderes, denn der Europäische Datenschutz sagt halt, wenn du einen Dienstleister beauftragst, Daten für dich zu verarbeiten, musst du mit diesem Dienstleister einen Vertrag abschließen.
00:10:12
Speaker
der quasi den Dienstleister dazu verpflichtet, sich an die Datenschutzstandards zu halten. Das ist ja aber dann... Also, du kannst natürlich auch bei amerikanischen Tools machen, aber es ist ja auch relevant für Tools, die du hier in Deutschland hast. Du brauchst einfach um Daten, also sagen wir mal, ich generiere Newsletter-Anmeldungen und ich bin verantwortlich für diese Daten, weil sie personenbezogen sind und weil ich hier in Deutschland wohne.
00:10:36
Speaker
Dann bin ich auch verpflichtet, mir ein Tool zu suchen, das meiner Verpflichtung, Datenschutz einzuhalten, auch nachkommt. Das heißt, ich muss prüfen, mit wem ich zusammenarbeite und welches Tool ich nutze, vorab. Und mit denen muss ich eine vertragliche Regelung darüber abschließen, wie sie mit den Daten umzugehen haben. Indem die sich quasi auch nochmal verpflichten, sich an den Datenschutz zu halten, damit du eine Grundlage hast, gegen das Tool quasi vorzugehen, intern.
00:11:02
Speaker
Bedeutet aber trotzdem, gerade beim AVV, du bleibst ja weiterhin verantwortlich, was mit den Daten passiert. Der Unterschied ist halt, du kannst dann, sagen wir mal, ich erhebe Newsletter-Daten, du hast ein Tool dafür gebaut, und dann beschwert sich der Newsletter-Anmelder bei mir, dass gegen Datenschutz verstoßen wurde. Ich bin verantwortlich, also muss ich mich darum kümmern, aber weil wir einen AVV haben, kann ich gegen dich vorgehen, weil du eigentlich dagegen verstoßen hast.
00:11:28
Speaker
Für den Nutzer bin ich aber der Ansprechpartner, weil ich verantwortlicher bin. Und der kann mich auch dafür zur Verantwortung ziehen, dass ich kein datenschutzkonformes Tool ausgesucht habe. Und dafür schließt man AVVs ab, damit du eine vertragliche Grundlage hast, dass du für mich meine Daten, die ich generiert habe, verarbeiten darfst. Das ist ein AVV. Und den musst du abschließen. Machen viele auch nicht gerade mit amerikanischen Tools oder auch viel mit deutschen Tools.
00:11:54
Speaker
Es kommt halt selten vor, dass du explizit einen AVV abschließt. Wenn aber jemand quasi Datenverarbeitung für dich übernimmt, wie es ja auch der Name Auftragsdatenverarbeiter sagt, brauchst du natürlich einen Vertrag mit dem, dass der in deinem Auftrag für dich Daten verarbeitet.
00:12:10
Speaker
Deswegen musst du das auch mit den ganzen Tools, sagen wir jetzt Mailchimp, Google Analytics und so. Es gibt da nochmal Unterschiede zwischen jemand ist ein Auftragsdatenverarbeiter und jemand ist ein Subdienstleister, der dann aber selbst verantwortlicher ist. Das ist so der Unterschied zwischen den beiden. Bei einem AVV bin ich weiterhin verantwortlicher. Bei einem Subdienstleister wird der Hauptverantwortlicher für die Daten. Hast du ein Beispiel für einen Subdienstleister?
00:12:33
Speaker
eine Firma, die sich zum Kerngeschäft gemacht hat, selbst Daten zu verarbeiten. Also man könnte sagen, dass wenn ich jetzt eine Agentur beauftrage, die von mir beauftragt wird, die Daten
00:12:44
Speaker
zu erfassen und zu verarbeiten. Zum Beispiel im Rahmen von Headhunter Agentur, die Bewerber für mich finden soll. Ist ja ein klassisches Beispiel. Die rufen dann die Leute an, die generieren die Bewerbung und so. Die generieren ja die Daten für sich selbst. Und der Zweck eines Auftragsdatenverarbeiters ist aber, für mich Daten zu verarbeiten.
00:13:06
Speaker
Also, Software as a Service ist quasi dann immer ... Licht zwingend. Also, tatsächlich ist das in der Juristerei auch gar nicht so klar abgrenzbar. Was natürlich ein Riesenproblem ist, weil du wissen willst, wann bin ich hauptverantwortlicher. Deswegen ist es halt, auch mit einem Subdienstleister brauchst du einen Vertrag. Weil wenn er die Daten generiert und die an dich weitergibt, brauchst du auch eine vertragliche Grundlage. Deswegen macht's keinen großen Unterschied, finde ich. Weil du eh dafür sorgen musst, dass der Datenschutzstandard gewahrt ist.
00:13:35
Speaker
Und du aber immer darauf achten solltest, wenn personenbezogene Daten verarbeitet, erfasst, generiert werden, dass die DSGV beachtet wird. Und du immer eine vertragliche Grundlage brauchst, egal mit wem.
Personenbezogene Daten und GDPR-Compliance
00:13:47
Speaker
Jetzt wird ja mal von personenbezogenen Daten gesprochen. Aber wo fängt das an? Geht das schon bei der E-Mail-Adresse los?
00:13:52
Speaker
Ein personenbezogenes Datum, und jetzt wäre meine Professorin aus der Uni sehr stolz auf mich, ist ein Datum, das eine Person oder über oder mit dem eine Person identifizierbar wäre oder gemacht werden könnte.
00:14:07
Speaker
Jetzt guckt Lilith mich total entgeistert an. Jura at its best. Jetzt übersetze ich das nochmal, weil das ja auch das ist, was wir bei Raket stattmachen. Daten sind personenbezogen, wenn es möglich ist, die einem bestimmten Menschen zuzuordnen. Und quasi anhand dieser Daten herauszufinden, wer damit gemeint ist und zu wem sie gehören.
00:14:29
Speaker
Eine E-Mail-Adresse, da ist natürlich klar, die gehört zu einem Menschen dazu. Genauso wie eine Telefonnummer, wie ein Geburtsdatum, wie ein Name. Das heißt, es fängt schon deutlich lower an, als man eigentlich denkt. Und ich fühle mich manchmal so, als ist fast alles ein personenbezogenes Datum. Es ist was anderes, wenn du die Anzahl von Autos zählst, die an der Straße vorbeifahren.
00:14:50
Speaker
weil die sich nicht auf eine Person, eine natürliche Person beziehen. Denn der Zweck von der DSGVO ist ja nicht die grundsätzliche Einschränkung von Datenerhebung, sondern es geht um Daten, die Personen betreffen und damit die Privatsphäre eines lebendigen Menschens betreffen. Und das ist dann halt der elementare Unterschied. Du kannst ja Daten in allen möglichen Branchen sammeln, du kannst Daten über
00:15:15
Speaker
Wetter, so klasse das Beispiel. Das bezieht sich aber natürlich nicht auf eine Person und es soll ja die Privatsphäre einer Person geschützt werden und das betrifft natürlich auch eine E-Mail-Adresse, weil auch mit einer E-Mail-Adresse kannst du viel Spam verschicken, du kannst sie weitergeben, es ist ja ein Kontaktdatum einer Person, einer individuellen Person natürlich. Tatsächlich kann auch eine
00:15:35
Speaker
Oder auch IP-Adressen sind personenbezogene Daten. Weil du halt, klar, ein bisschen umständlicher als Name, aber du kannst dir halt einer Person zuordnen. Mhm. Die dahinter steht. Okay, also das heißt, wenn ich personenbezogene Daten wie Name und E-Mail, Newsletter und so was ... Klassiker. Genau, das sind alles personenbezogene Daten, da muss ich mega aufpassen. Wie sieht's aus, wenn ich eine Plattform
00:16:02
Speaker
nehmen wir das Wetterbeispiel, baue und da zum Beispiel dann Werbung drauf schalte oder sowas. Für die Wetterdaten ist es nicht relevant, wenn du aber natürlich die Besucherdaten analysierst, um personalisierte Werbeanzeigen zu schalten, dann bewegst du dich wieder im Bereich personenbezogene Daten. Okay, okay. Und das heißt,
00:16:23
Speaker
Okay, also das heißt, ich dürfte beispielsweise Airtable, amerikanisches Tool, visuelle Datenbank, dürfte ich für interne Sachen quasi benutzen und Daten speichern wie ... Wenn's keine Mitarbeiterdaten sind? Genau, so zum Beispiel, ich lade meinen Content, meine Blogposts zum Beispiel, schreib ich davor und lad die dann von da aus automatisiert hoch zum Beispiel. Das wär kein Problem, weil keine personenbezogene Daten. Wenn du dich nicht als Autor reinschreibst?
00:16:53
Speaker
Wie ist das mit den Nutzerdaten, die für den angemeldeten Nutzer gespeichert werden? Also wenn ich mich bei R-Table anmelde, wird ja auch meine IP-Adresse sicherlich irgendwo gelockt. Mein Name sowieso, weil ich mich ja damit registriert habe. Dann erhebt R-Table personenbezogene Daten über dich. Und deswegen muss R-Table sich an die DSGVO halten.
00:17:16
Speaker
Ah. Hui. Okay. Das, ähm ... Es durchdringt. Klar, deswegen ist Airtable verpflichtet, weil deine Log-in-Daten dir als natürlichen Person zugeordnet werden können.
00:17:31
Speaker
Das ist spannend. Wenn du natürlich, sagen wir mal, du machst chemische Versuche im Labor und du hältst deine Laborwerte in Airtable fest oder so, ist das halt was anderes. Was jetzt deine Verpflichtung, personenbezogene Daten zu verarbeiten halt angeht. Aber es geht ja oft auch um das Thema Performance Marketing Tracking. Es geht oft um Newsletteranmeldungen. Es geht um Management im CRM, Kundendaten, Kontaktdaten.
00:17:55
Speaker
Und auch da gibt es noch mal Unterschiede zwischen der Erhebung von Firmen-E-Mails und E-Mails, die einer Person in einer Firma zugeordnet sind, weil es dann wieder ein stärker personenbezogenes Datum ist. Dementsprechend klar. Alles, wo natürliche Personen betroffen sind, so kann man es wahrscheinlich sagen, da greift die DSGVO ein. Wenn wir gerade schon beim Thema sensible Daten sind, es gibt in T-ROMAT, es ist ein europäisches Automatisierungstool, gibt es eine Einstellung,
00:18:25
Speaker
ausschalten kann, dass die Daten, die hin und her geschickt werden, von Integromat gespeichert werden. Wozu braucht man so eine Funktion?
00:18:39
Speaker
Daten, die so sensibel sind, dass sie möglichst nirgendwo gespeichert werden sollten oder nur in Deutschland? Grundsätzlich funktioniert der Datenschutz ja so, dass du sowieso nur zweckgebunden Daten erheben darfst. Und du darfst natürlich auch nur für die Dauer, die du
00:18:55
Speaker
also die der Zweck quasi aktuell ist, die Daten speichern. Du bist zum Beispiel auch verpflichtet, sobald der Zweck wegfällt, die Daten zu löschen. Klassisches Beispiel, deswegen, viele vergessen halt, dass nicht nur das Speichern der Daten eine Verarbeitung von personenbezogene Daten ist, sondern auch die reine Erfassung und Generierung ja schon vorab. Das heißt, auch wenn du sie nur verarbeitest und gar nicht zwischenspeicherst oder so, du erfasst sie ja, du erhebst sie ja.
00:19:17
Speaker
Das ist halt auch der Punkt. Deswegen geht ja nicht nur einher, dass du einen AVV abschließen musst oder dass du die DSGVO beachten musst, sondern die DSGVO hat ja auch bestimmte Grundsätze, die du einhalten musst. Das bedeutet, du musst denjenigen, über den du Daten erhebst, vorab darüber aufklären, was machst du mit den Daten, wie lange speicherst du sie, wofür werden sie verwendet, wie werden sie gelöscht.
00:19:41
Speaker
Und dieser jemand, den die Daten betreffen, hat auch verschiedene Rechte gegen dich dann. Das heißt, er kann Auskunft verlangen, er kann Löschung verlangen, er kann Berichtigung verlangen. Das sieht man immer ganz schön in so Datenschutzerklärungen von Websites, wo dann, wenn man die vernünftig gemacht hat, am Ende auch die Rechte des Dateninhabers mit aufgeführt werden.
00:19:58
Speaker
Und wenn du halt diese Grundsätze der DSGVO einmal verstanden hast, finde ich, ist Datenschutz auch gar nicht mehr so das Ding. Sagen wir mal, jemand meldet sich für meinen Newsletter an, ich kläre ihn durch die Checkbox und die hinterlegte Datenschutzerklärung darüber auf, was ich mit den Daten vorhabe, wie lange ich sie speicher.
00:20:16
Speaker
Und quasi muss ja auch in einem gewissen Abstand immer mal wieder, sagen wir mal, wenn du die Daten nicht verwendest, da gibt es auch so zeitliche Fristen, ab wann du die dann auch löschen musst, weil du sie nicht verwendet hast und so. Der Sinn des Datenschutzes ist halt,
00:20:30
Speaker
den Menschen, der davon betroffen ist, wieder die Möglichkeit zu geben, eine Macht darüber zu haben, was mit diesem Datum, was sich, sagen wir mal seinem Namen, passiert. Und wenn du nicht aufgeklärt bist, wo dein Name überhaupt verwendet wird, kannst du ja gar nicht deine Rechte durchsetzen. Und dementsprechend gibt man dem quasi Werkzeuge an die Hand, um halt die Kontrolle zurückzuerlangen über sich.
00:20:51
Speaker
Das ist ein spannendes juristisches Thema, weil auch viele darüber nachdenken, gerade jetzt so, weil Facebook und Google da riesige Geschäftsmodelle drauf aufgebaut haben. Ob es nicht sinnvoll wäre, eine Plattform zu bauen, wo Leute ihre Daten selbst verwalten können und selber aktiv zur Verfügung stellen können, damit sie damit selbst Geld verdienen können. Das heißt, du sagst zum Beispiel, das ist ein Riesending, also wenn jemand noch eine Geschäftsidee sucht und so. Das ist quasi das, es wird ja oft gesagt, du zahlst eigentlich mit den Daten an Facebook.
00:21:20
Speaker
Warum nicht eine Plattform bauen, wo ich aktiv entscheiden kann? Ich möchte mit meinen Daten dafür zahlen, damit verdiene ich Geld. Mega geil.
00:21:27
Speaker
wird vielleicht irgendwann kommen durch die DSGVO, die halt jetzt die Grundlage dafür schafft, dass ich wieder die Macht über meine Daten zurückbekomme, weil das Internet komplett gemacht hat, was es wollte, so die letzten Jahren. Und da muss man eben so ein bisschen einfach im Hinterkopf haben, was ist der Sinn und Zweck der DSGVO und dann ist auch deutlich leichter, Tools auszuwählen und auch die Pflichten einzuhalten, weil du einfach weißt, okay, du hast jetzt Lilith und ich erkläre dir halt vorher,
00:21:50
Speaker
Was mache ich damit? Wie lange speichere ich das? Wofür benutze ich das? Klassisches Beispiel Gewinnspielanmeldung. Das macht einen Unterschied, wenn du an meinem Gewinnspiel teilnimmst, ob ich deinen Namen und E-Mail-Adresse erhebe und dir vorher sage, dadurch nimmst du am Gewinnspiel teil. Oder ich sage noch, ich will die aber für den Newsletter verwenden. Da muss ich dich vorab dafür aufklären, damit es datenschutzkonform ist. Wenn ich dich aufgeklärt habe, ist das ja völlig fein, dass ich dich dann kontaktiere und dir ein Newsletter schicke.
00:22:14
Speaker
Aber die Voraussetzung ist halt, dass ich dir vorher das gesagt habe und du aktiv gesagt hast, finde ich gut, will ich haben, willige ich eins, setze ich meine Checkbox, fertig.
Häufige Fehler bei der Software-Nutzung
00:22:23
Speaker
Ja. Wahnsinn. Dieses Liegen ist so ein einfaches Thema, ich weiß immer alles. Gar nicht, was die Leute mit Problemen haben, oder? Absolut. Was sind so deine Erfahrungen aus den Top 3 Fehler, die Gründer oder Teams bei der Nutzung von Software machen?
00:22:42
Speaker
Bei der Nutzung von Software oder bei der Erstellung von Software? Bei der Nutzung von Software, also wenn man jetzt was für sich, ein E-Mail-Tool für sich aussucht, was man gerne nutzen möchte für sein Unternehmen, für das Verschicken von Newslettern oder vielleicht auch ein Projektmanagement-Tool, um Aufgaben zu managen.
00:22:59
Speaker
Okay, also ganz langweilig würde ich natürlich jetzt sagen, okay, ein Tool nehmen, was in Drittländer exportiert und halt, ist halt blöd. So, das sollte man ja nicht tun. Ich glaube, aber das ist ja langweilig, habe ich ja eben schon gesagt. Ich glaube, Datenschutzerklärungen anhängen bei der Anmeldung, indem halt wirklich gut aufgeklärt wird, so wie es erfolgen müsste, ist Challenge number one.
00:23:21
Speaker
Weil viele einfach vergessen, ihre Datenschutzerklärung halt ranzuhängen oder in der Datenschutzerklärung einen Abschnitt zum Newsletter anmelden, quasi zu hinterlegen. Was meinst du mit dranhängen? Kannst ja. Also du hast ja diese klassische Checkbox, wo du diese zwei Zeilen hast, mit denen ja, ich erkläre mich, damit einverstanden, diesen Newsletter im Abstand von zwei Wochen zu bekommen. Mehr Informationen, wie wir deine Daten verarbeiten, findest du in unserer Datenschutzerklärung mit Link. Das wäre ja so der Klassiker.
00:23:46
Speaker
Ah, okay, und das ist da angefängt. Dann muss ich aber, auch spannend, ich muss aktiv den Haken setzen, dass ich das will. Das wäre dann Fehler Nummer zwei. Dass ich das schon als Opt-in habe und der Leute, derjenige durch abschicken schon, dass es quasi vorausgewählt ist, ist der nächste Fehler. Weil derjenige muss aktiv sagen, bin ich mir einverstanden. Wenn ich's vorauswähle, ist es keine aktive Entscheidung mehr. Das ist auch gerichtlich so geregelt. Und dann, vielleicht im Next Step, um das direkt wieder aufzugreifen,
00:24:15
Speaker
Nur weil ich eine E-Mail da eintrage, heißt ja nicht, dass ich das auch bin. Das ist der klassische Grund fürs Double Opt-in-Verfahren. Du schickst dann halt nochmal eine Bestätigungs-Mail. Hey, du hast mit dieser Mail angemeldet, bitte hier nochmal bestätigen. Und dann hast du eine wirksame Newsletter-Anmeldung. Das sind so Dinge, die man beachten sollte. Ansonsten bei der Nutzung von Software Nutzungsrechte.
00:24:37
Speaker
haben wir eben auch schon mal angesprochen, ist immer ein Riesenthema, sollte man unbedingt darauf achten. Und was halt vielleicht noch so ein Geheimtipp ist, was viele nicht auf dem Schirm haben, wenn ich selber Software baue.
00:24:47
Speaker
Und ich verwende dazu Open Source Tools oder Codes. Sollte ich auf dem Schirm haben, dass Open Source nicht bedeutet, ich darf damit machen, was ich will. Viele nutzen ja verschiedene Bausteine und bauen dann eine neue Software daraus. Open Source hat aber bestimmte Lizenzbedingungen, die ich beachten muss. Zum Beispiel, dass ich den Quellcode wieder veröffentlichen muss.
00:25:07
Speaker
für das Allgemeinwohl, damit es weiterverwendet werden kann. Das heißt, ich sollte mir vor dem Bauen der Software überlegen, was sind die Lizenzbedingungen der Open-Source-Arz, die ich verwenden will. Und auf der Basis vor Abhaltschirmprüfen eignet sich das dann für das, was ich damit vorhabe. Weil wenn ich das natürlich wirtschaftlich verwenden will, habe ich ja gar keinen Bock, nachher meinen neu programmierten Code, auch wenn Open-Source-Elemente drin sind, offenlegen zu müssen.
00:25:32
Speaker
Und die können dir dann aber untersagen, dass du's weiter nutzt, wenn's rauskommt. Man sollte vorab prüfen, welche Lizenz eignet sich für mich. Und damit ich hinterher kein böses Erwachen hab. Nachher muss ich meine Software komplett neu bauen. Dann hast du eine Agentur beauftragt und Entwickler mit reingenommen. Das kostet extrem viel Geld und ärgert einen. Das ist ein klassischer Fehler, den Start-ups einfach machen. Mhm. Ja, das wär sicherlich auch für Noco-Themen ein Thema, dass man sich quasi bei den ...
00:26:00
Speaker
je nachdem, was man baut, bei den Softwareanbietern dann nochmal vergewissert, so muss ich veröffentlichen, mit was ich das gebaut habe. Das sieht man, glaube ich, also gerade in den Freeplans hat man ja meistens so ein Build with Software oder Webflow oder so ein Kram. Und hat das dann in den Paidplans nicht, aber auch auf jeden Fall, wo man sich dann nochmal darüber informieren sollte.
00:26:21
Speaker
Tolles Ding. Und Nutzungsrechte halten. Wenn ich natürlich ein Tool baue, darf ich das unterlizenzieren und verkaufen. Das musst du halt auch vorab einfach klären, weil nachher hast du was Geiles gebaut und du willst es nicht nur intern nutzen, sondern halt auch weiterverkaufen und da ist halt die Unterlizenzierung immer ein Riesenthema. Und da muss man natürlich dann auch nachlesen in den AGB, inwiefern will vielleicht das No-Code-Tool noch daran mitverdienen, indem du eine Umsatzbeteiligung oder was auch immer drin hast oder was auch immer oder das Pricing steigt.
00:26:48
Speaker
Grundsätzlich Pro-Tip von mir immer einfach Verträge lesen, wenn man sie unterschreibt. Das kommt immer ganz gut an, wenn man mal richtig viel Langeweile hat, einfach mal wirklich eine Datenschutzerklärung, der man zustimmt, einfach mal vorab lesen.
Bildungsangebote für rechtliche Themen
00:27:01
Speaker
Das ist halt richtig crazy. Oder AGB, wenn du irgendwo was bestellst oder so. Wenn du so richtig go crazy willst, dann fängst du an, AGB zu lesen.
00:27:10
Speaker
Ja, man wundert sich manchmal, was da so drinsteht. Ich meine, da ist noch mal ein großer Unterschied, den man auf dem Schirm haben sollte. Verbraucher sind in Deutschland deutlich besser geschützt als du als Business. Und bei AGB kann dir auch als Verbraucher nicht viel passieren, weil es gibt Gesetze, sobald irgendwas drinsteht, was du nicht erwarten konntest an der Stelle. Sagen wir mal, du kaufst irgendwie einen Pullover und in der AGB von, sagen wir mal, Zalando steht, du hast dich auch hiermit verpflichtet, deine Niere zu spenden.
00:27:35
Speaker
irgendwo ganz klein, so wie man sich das vorstellt. Wenn du Verbraucher bist, dann würde halt das Zivilrecht in Deutschland sagen, hey, das ist was, gehört nicht in den Kontext, das konnte man nicht erwarten. Man geht schon davon aus, dass der Verbraucher eigentlich keinen Bock hat, das zu lesen. Richtig traurig, aber ist halt gut, weil wie beim Mietrecht haben wir halt Schutzmechanismen für
00:27:55
Speaker
bestimmte Gruppen und der Verbraucher wird gegenüber dem erfahrenen Unternehmer explizit geschützt. Bedeutet aber im Klartext auch, dass du diese Schutzmechanismen zwischen B2B oft nicht hast. Dementsprechend hast du da dieses Aufhangnetz nicht. Deswegen sollte man auch da immer aufpassen, wenn du im B2B-Kontext was machst, sei es Gewerbemietrecht, aber auch einfach Verträge miteinander, dass der Gesetzgeber gesagt hat, die sind nicht so schutzbedürftig, weil die halt businessmäßig handeln und man von denen erwartet, dass sie eher wissen, was sie tun. Ja. Auch noch ein guter Punkt.
00:28:25
Speaker
Ui! Wir sind mal durchgeritten jetzt hier. Wirklich ganz schön viel. Wenn man da noch mehr in die Tiefe gehen will, weil wir haben wirklich nur so wirklich leicht in der Oberfläche gekratzt. Sagt es nicht die Leute, die hören das jetzt und denken so, what the fuck?
00:28:39
Speaker
Wir haben wirklich nur an der Oberfläche gekratzt, Leute, ich verspreche es euch. Wo erfahre ich denn mehr? Das ist natürlich eine gute Überleitung, denn all diese Themen, wir haben es uns ja zur Mission gemacht, gerade Existenzgründern, Unternehmern, Start-ups wieder einen besseren Zugang zurecht zu ermöglichen. Ich bin der festen Überzeugung, man kann all diese Themen, wenn man weiß, dass es sie gibt,
00:29:01
Speaker
Und wenn man einen Zugang dazu hat, dass man es einfach versteht, kann man all diese Themen einfach lernen und selber umsetzen als Unternehmer. Deswegen haben wir gesagt, auf unserer Plattform ermöglichen wir das. Das heißt, wir launchen jetzt bald unser Basispaket der Raketenstart Academy. Da lernst du alle Dinge, die du für die Unternehmensgründung brauchst, unabhängig vom Produkt.
00:29:18
Speaker
Aber geplant ist natürlich auch, weil viele Gründungen im Bereich Software stattfinden, dass wir ein Spezialpaket launchen, wo du alle rechtlichen Themen lernst, die du bei Software beachten musst, wenn du sie baust, wenn du sie nutzt etc. Und ich glaube, das sind halt E-Learnings, du kannst den individuellen Lernfahrt dann erstellen, d.h. du bekommst dann nur die Themen angezeigt, die für dich relevant sind. Wir fragen dann so ein paar Eckdaten ab und
00:29:38
Speaker
Das ist, glaube ich, eine coole Möglichkeit, nicht mit jeder Frage zum Anwalt gehen zu müssen und einfach ein eigenes rechtliches Grundverständnis zu erhalten. Weil ich festgestellt habe, als Unternehmer musst du einfach die Dimension verstehen. Sonst kannst du keine guten unternehmerischen Entscheidungen treffen. Und ja, da versuchen wir, das zu ermöglichen und die Leute abzuholen. Und auch gerade bei so krassen Softwareverträgen oder auch Escrow Agreements, sagen wir mal, du nutzt eine Software, die wirklich elementar ist. Gerade bei großen Unternehmen ist es völlig üblich,
00:30:06
Speaker
Wenn sagen wir mal, du nutzt von einem Startup ein Produkt oder so, dann kannst du halt den Quellcode auch hinterlegen lassen, falls das Startup mal ins Event geht. Dass du halt ein Recht darauf hast, den Code dann zu bekommen. Dafür zahlst du dann natürlich ein bisschen was so. Aber gerade wenn das so elementare Dinge für deine eigene Software sind und du kooperierst mit jemandem, ist das ein Top-Vertrag, den du halt abschließen kannst. Und all diese Besonderheiten, die lernt man dann so bei uns. Und dann kann man alles einfach richtig machen. Und dann gibt's viel weniger Ärger und es kostet auch weniger.
00:30:33
Speaker
Ja, und weniger Angst auch, ne? Weil wenn man das erste Mal so davon hört, es ist ja wirklich wie so ein Riesenberg, der da vor einem ist, und man ist erst mal so ein bisschen erschlagen von diesen ganzen Themen. Voll. Es ist eine Parallelwelt, das hab ich im Studium schon relativ schnell festgestellt. Und die Gründungsidee kam ja auch durch einen Kumpel, der gründen wollte und keinen Plan von Jurate. Wie das so ist als Jurist, ne? Kannst du mal kurz hier, ich hab mal hier eine Frage.
00:30:56
Speaker
Und ich hab mir im Jurastudium halt auch alles selbst beigebracht. So, die Unis, die leisten da jetzt nicht so krass viel fürs Examen. Gerade so in diesen Bereichen, die nicht Standard sind und IT-Recht hast du halt nicht im Examen. Und ich konnte mir halt auch viel beibringen und ich glaube, dass der Rechtsmarkt sich mehr
00:31:11
Speaker
dahin entwickelt, dass wir wieder die Menschen abholen und selbst enablen, Dinge umzusetzen.
Raketenstart Academy und Schlussbemerkungen
00:31:15
Speaker
Und gerade als Unternehmer, du googelst ja alles, wie schreib ich einen Businessplan, wie mach ich einen Pitch-Dag, wie find ich Investment und so. Warum nicht auch die Basics im Recht? Weil so kompliziert ist es halt auch nicht. Ich glaub halt, die Branche, weil da sehr, sehr viel Geld drinsteckt, hat sich ein bisschen mit Absicht so gebildet, dass es so ein Geheimwissen ist, weißt du?
00:31:33
Speaker
dass du selber das Gefühl hast, du kannst es gar nicht selber, aber so komplex ist es in den meisten Themen nicht. Wir versuchen halt auch, das Ganze so darzustellen, dass du es einfach abarbeiten kannst. Okay, du willst eine Website bauen, als Erstes musst du das tun, du brauchst eine Datenschutzerklärung, du brauchst ein Impressum. Wenn du Google Analytics einbinden willst, musst du es so und so machen. Dann kannst du einfach abarbeiten, da brauchst du nicht drüber nachdenken. Deswegen, ja, wir bauen so das juristische Gehirn für Nichtjuristen, glaub ich. Das wird cool. Ich hab Bock. Superessentiell.
00:32:01
Speaker
Auf jeden Fall. Megacool. Ich freu mich drauf. Yes, yes. Sehr, sehr cool. Madeleine, vielen, vielen Dank, dass du bei uns warst. Das war super spannend. Und genau, ich freu mich sehr, darüber noch mehr zu erfahren, sobald ihr gelauncht habt. Und genau, vielen, vielen Dank. Sehr, sehr gerne. Vielen Dank für die Einladung. Hat mir auch viel Spaß gemacht. Und ich hoffe, ich hab euch für das Thema begeistert und nicht abgeschreckt.
00:32:26
Speaker
Aber ja, wenn ihr halt Hilfe braucht, dann meldet euch gerne und ich freue mich auch sehr auf eure Entwicklung in den nächsten Monaten. Vielen Dank, Madeleine, und viel Erfolg mit der Raketenstart. Dankeschön! Ciao! Wenn dir diese Folge gefallen hat, dann freuen wir uns sehr, wenn du uns ein paar Sternchen in der Apple Podcast App dalässt oder uns eine Review schreibst. Das hilft uns nämlich, gefunden zu werden. Und wenn du mehr über No-Code erfahren möchtest, dann schau doch gerne auf unsere Website visualmakers.de vorbei. Ansonsten freuen wir uns, wenn du auch in der nächsten Folge wieder dabei bist.
00:32:56
Speaker
Bis zum nächsten Mal.