Kategorie Aktuell

Neues Digitale-Dienste-Gesetz (DDG) in Kraft – was Webseitenbetreibende jetzt ändern müssen

Das Digitale-Dienste-Gesetz (DDG) ist am 14.05.2024 in Kraft getreten. Mit dem DDG sollen die Voraussetzungen zur Umsetzung des EU-Digital-Services-Act (DSA) in Deutschland geschaffen werden. Welche Änderungen das DDG mit sich bringt und welche Anpassungen jetzt insbesondere für Webseitenbetreibende erforderlich sind, erläutern wir in diesem Beitrag. Der DSA ist am 16.11.2022 in Kraft getreten und gilt im Wesentlichen seit dem 17.02.2024. Der DSA schafft einheitliche Regelungen für Anbieter digitaler Dienste in der Europäischen Union. Zusammen mit dem Digital-Markets-Act (DMA) soll ein besserer Schutz der Grundrechte von Verbraucher:innen und insbesondere Kindern im Internet erreicht werden. Der Schwerpunkt liegt auf der Verhinderung von illegalen Online-Aktivitäten sowie der Verbreitung von Falschinformationen.

„Consent or Pay“ – Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zu Pur-Abo-Modellen

Der Europäische Datenschutzausschuss (EDSA) hat am 17.04.2024 eine Stellungnahme zu "Consent or Pay" auf großen Onlineplattformen wie Instagram und Facebook veröffentlicht. Unter „Consent or Pay“ sind Modelle zu verstehen, bei denen die für die Verarbeitung verantwortliche Stelle den betroffenen Personen die Wahl lässt zwischen mindestens zwei Optionen, um Zugang zu einem Online-Dienst zu erhalten. Die betroffene Person kann entweder in die Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck einwilligen. Alternativ kann sie entscheiden, eine Gebühr zu zahlen, um Zugang zu dem Online-Dienst zu erhalten, ohne dass ihre personenbezogenen Daten für diesen Zweck vearbeitet werden. Die Stellungnahme des EDSA bezieht sich dabei auf Modelle, bei denen die Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der verhaltensbezogenen Werbung erteilt wird.

Aufsichtsbehörde veröffentlicht Checkliste zu KI-Chatbots

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 13.11.2023 eine hilfreiche Checkliste zum Einsatz von KI-Chatbots vorgelegt. Diese kann auf der Website der Aufsichtsbehörde eingesehen und heruntergeladen werden. Unternehmen und Behörden sollen mit diesem Papier bei ihren ersten Gehversuchen bzw. dem Einsatz der neuen Technik im Hinblick auf den Datenschutz begleitet werden.

EuGH konkretisiert Voraussetzungen für Schadensersatz

Der Europäische Gerichtshof (EuGH) konkretisiert mit zwei weiteren wichtigen Entscheidungen im Dezember die Voraussetzungen für Schadensersatz nach Art. 82 DSGVO. So fallen auch subjektive, immaterielle Schäden unter den Schadensbegriff der DSGVO. Den Schaden beweisen muss die betroffene Person. In seiner ersten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑340/21) führt der EuGH zum Schadensbegriff aus, dass bereits die Befürchtung missbräuchlicher Datenverarbeitung einen immateriellen Schaden darstellen kann. In seiner zweiten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑456/22) stellt der EuGH klar, dass der Schadensbegriff der DSGVO auch rein subjektive Schäden erfasse.

EuGH senkt Hürden für die Verhängung von Bußgeldern

Am 05. Dezember hat der Europäische Gerichtshof (EuGH) gleich zwei wegweisende Urteile verkündet. Im ersten Urteil entschied der EuGH im Fall „Deutsche Wohnen“. Diese stritt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit über die langfristige Speicherung von Mieter:innendaten (z.B. Personalausweiskopien, Bonitätsbelege, Gehaltsbescheinigungen) in ihren Archivsystemen. Die Datenschützer:innen rügten einen Datenschutzverstoß, welchem die Deutsche Wohnen jedoch keine Abhilfe leistete. Daraufhin verhängte die Berliner Behörde ein Bußgeld in Höhe von 14,385 Mio. EUR wegen eines vorsätzlichen Datenschutzverstoßes. Die Deutsche Wohnen zog vor Gericht. Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein.

Bundesbeauftragter für Datenschutz und Informationsfreiheit: Prof. Ulrich Kelber wirbt um zweite Amtszeit

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird von der Bundesregierung vorgeschlagen und vom Deutschen Bundestag gewählt. Seine Amtszeit beträgt fünf Jahre. Nachdem die Bundesregierung es versäumt hatte, fristgerecht einen neuen Vorschlag für den oder die nächsten Bundesdatenschutzbeauftragten (BfDI) vorzulegen, bewirbt sich der Prof. Ulrich Kelber um eine zweite Amtszeit. Eine Wiederwahl ist einmalig möglich. Auf der Webseite des BfDI teilt Kelber mit: "Ich selbst bewerbe mich um eine zweite Amtszeit, um meine begonnene Arbeit fortzusetzen. In den letzten fünf Jahren habe ich erreicht, dass der BfDI die Beratung für die beaufsichtigten Bundesbehörden, Unternehmen und sonstigen Institutionen deutlich intensiviert hat."

Bußgeld: TikTok muss 345 Millionen Euro zahlen

Die irische Datenschutzkommission DPC, die im Namen der EU handelt, hat gegen den Videodienst TikTok ein Bußgeld in Millionenhöhe ausgesprochen. TikTok wehrt sich. Hintergrund ist eine Untersuchung zum Umgang mit Nutzendendaten Minderjähriger von Ende Juli bis Ende Dezember 2020, wie die DPC vergangene Woche mitteilte. Die DPC wirft dem bei Jugendlichen sehr beliebten Dienst TikTok vor, beim Umgang mit Daten Minderjähriger gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen zu haben. Im Fokus standen einige Einstellungen der Plattform sowie die Altersüberprüfung bei der Anmeldung. Die Voreinstellung führte dazu, dass Beiträge und Videos von Nutzenden im Alter zwischen 13 und 17 Jahren standardmäßig für alle sichtbar veröffentlicht werden konnten. Auch sei die Kommentierfunktion in den Profilen als Voreinstellung für alle anderen Nutzenden zugänglich gewesen.

Beschwerde gegen Apps wegen unrechtmäßiger Datenübermittlung an Dritte

Die Datenschutzorganisation Noyb - deren Vorstandsvorsitz bekleidet wird von Max Schrems - hat in der ersten Septemberhälfte gleich drei Beschwerden wegen rechtswidriger Datenweitergabe an Dritte eingereicht. Die Beschwerden richten sich gegen die App "Fnac" des größten Elektronikmarkts Frankreichs, die Immobilien-App "SeLoger" und die Fitness-App "MyFitnessPal". Nach dem Öffnen der Apps greifen die Betreiber unmittelbar die Daten der Nutzenden ab und übermitteln diese zu umfangreichen Analysezwecken an Dritte, ohne den Nutzenden zu ermöglichen die Datenweitergabe zu unterbinden. Die Übermittlung erfolge dabei standardmäßig.

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten

Es ist so weit: Die Europäische Kommission hat soeben den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Unternehmen in den USA dienen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit. Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework ein angemessenes Schutzniveau bestätigt. Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU ab sofort an Unternehmen in die USA übermittelt werden, ohne dass weitere Vorkehrungen oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern das US-Unternehmen auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist.

Schluss mit lästigen Cookie-Bannern?

Der Aufruf einer Webseite ist in den meisten Fällen ohne vorherige Auswahl in Cookie-Bannern unmöglich. Diesem lästigen Vorgehen möchte das Bundesministerium für Digitales und Verkehr (BMDV) entgegenwirken. Nach dem überarbeiteten Referentenentwurf für eine „Einwilligungsverwaltungsverordnung“ soll bei Einsatz eines „anerkannten Dienstes“ für ein Jahr der ungestörte Aufruf von Webseiten möglich sein. Im Fokus steht die Festlegung eines rechtlichen Rahmens für Dienste zur Einwilligungsverwaltung auf Basis des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Diese Dienste sollen den Endnutzer:innen ermöglichen, ihre Einwilligung (im Einklang mit der DSGVO) gegenüber Telemedienanbieter:innen zu erklären, abzulehnen und zu verwalten.