Aktuelles

Das Digitale-Dienste-Gesetz (DDG) ist im Mai 2024  in Kraft getreten. Für die meisten Unternehmen besteht nun Handlungsbedarf, der sich aber in Grenzen hält.

Die Anbieterkennzeichnungspflicht im Impressum der Webseiten ergab sich bisher aus § 5 Telemediengesetz (TMG). Das neue Digitale-Dienste-Gesetz ersetzt nun das TMG. Und aus dem TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) aus dem Jahr 2021 wird das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz).

Diese Anpassungen sind das Resultat aus der europäischen “Digital Service Act”-Verordnung. Eines der Hauptelemente dieser Gesetzesanpassung ist die Neuregelung der Anbieterkennzeichnung im Impressum von Webseiten. Bisher regelte § 5 des Telemediengesetzes (TMG) diese Pflicht. Unter dem neuen “Digitale-Dienste-Gesetz” (DDG) wird diese Verantwortung auf § 5 DDG übertragen.

Der folgende Inhalt ist für Unternehmen von Bedeutung, die eine Videoüberwachung im Einsatz oder in der Planung haben. Hier gibt es ab sofort einiges zu beachten bzw. zu ändern.

Im Rahmen von Videoüberwachungen verarbeitet die verantwortliche Stelle – in der Regel unbeabsichtigt – auch Daten, die zu den besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO gehören. Dieser Artikel definiert Daten, aus denen die rassistische, ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen sowie biometrische und genetische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Die DSGVO sagt aber: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt.

In Europa und in der Schweiz, ob Großkonzern, Mittelstand oder Kleinunternehmen: Wer personenbezogene Daten von Dritten verarbeitet, muss sicherstellen, dass diese geschützt werden. Verantwortliche müssen die Verarbeitung ihrer Daten durch „geeignete technische und organisatorische Maßnahmen“, den sogenannten TOM,  absichern.

Für Europa gilt: „gemäß Art. 32 Abs. 1 DSGVO haben alle Verantwortlichen und Auftragsverarbeiter die Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau im Rahmen der Verarbeitung der personenbezogenen Daten zu gewährleisten.“

Das revDSG in der Schweiz sagt: „Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung (Kapitel 1, Art. 7, Abs. 1).

Da bereits zwei Datenschutzabkommen zwischen der EU und der USA gescheitert sind, wurde nun ein dritter Versuch gestartet. So hat die Europäische Kommission im Juli 2023 das neue Data Privacy Framework (EU-US DPF) veröffentlicht. Das Datenschutzabkommen ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.

Das EU-US DPF soll sicherstellen, dass die personenbezogenen Daten von EU-Bürgern, die in die USA übertragen werden, weiterhin den hohen Datenschutzstandards der EU unterliegen.