Jede Website braucht eine Datenschutzerklärung. So viel ist klar. Aber hast du dich schon einmal gefragt, warum das so ist? Und welche Inhalte dort eigentlich stehen müssen?

Was wir alle nicht verstehen (und was du am besten für dein Unternehmen vermeiden solltest) sind sinnlose ellenlange Ausführungen, die keiner versteht (meist auch der*die Ersteller*in nicht). Dabei ist es echt kein Hexenwerk. Eine Datenschutzerklärung ist nichts anderes als eine Pflichtinformation nach Art. 13 DS-GVO. Schau‘ ruhig mal ins Gesetz rein, da findest du wie eine Art Checkliste, die du einfach nur abarbeiten musst und das Ganze am besten in deinen eigenen Worten formulierst.

Als erstes musst du also den Namen und die Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten angeben. Dann kann es losgehen.

Schau dir deine Website an, wo überall Daten eingegeben werden können (z.B. Kontaktformular, Newsletter etc.). Wo werden noch Daten gesammelt? Machst du eventuell Tracking? Und zu all diesen Dingen musst du dann in deiner Datenschutzerklärung ein paar Informationen liefern, nämlich: Warum du das machst (Zweck) und was dafür die Rechtsgrundlage ist (schau‘ einfach in den Art. 6 DS-GVO). Und dann gibst du noch an, wie lange du die Daten speicherst und ob es dafür eine Bereitstellungspflicht gibt oder ob man die Webseite / die entsprechende Funktion auch ohne Bereitstellung der Daten nutzen kann. Fast geschafft. Informiere deine Besucher noch darüber, an wen du die Daten weiterleitest und welche Rechte Ihnen zustehen (inkl. einem Hinweis auf das Widerspruchsrecht). Fertig.

Zur Sicherheit prüfst du alles noch einmal und vergleichst es mit dem Gesetz (auch wir können manchmal in unseren kurzen Ausführungen etwas vergessen). Falls du dennoch lieber Unterstützung haben möchtest, kannst du dich gerne an unsere Rechtsanwält*innen wenden.

Mit dem am 14. Mai 2024 in Kraft getretenen Digitale-Dienste-Gesetz (DDG) werden die europäischen Vorgaben des Digital Services Act (DSA) umgesetzt. Dieser europaweit einheitliche Rechtsrahmen für digitale Vermittlungsdienste dient der Verhinderung von Desinformation sowie von illegalen und schädlichen Online-Aktivitäten. Zum einen wird eine Koordinierungsstelle innerhalb der Bundesnetzagentur geschaffen, die u.a. Anbieter digitaler Vermittlungsdienste und die Durchsetzung des DSA zentral beaufsichtigen wird. Zum anderen regelt das DDG u.a. den Schutz von Minderjährigen im digitalen Raum und Bußgeldvorschriften zur Ahndung von Verstößen gegen den DSA.

Der DSA schafft seit dem 17. Februar 2024 in der EU Sorgfalts- und Transparenzpflichten für Online-Dienste im Kampf gegen illegale Inhalte im Internet und die Durchsetzung auf EU-Ebene. Ziel ist es, illegale und schädliche Aktivitäten im Internet zu verhindern, die Grundrechte der Internetnutzer besser zu schützen und einen fairen und offenen Wettbewerb sicherzustellen. Dem DDG kommt dabei eine größtenteils ergänzende Rolle zu.

Anbieter von digitalen Diensten sollen beispielsweise transparent machen, wie sie Inhalte moderieren oder einschränken, personalisierte Werbung schalten oder Algorithmen in Feeds und Rankings einsetzen. Angebote zur Verkaufsförderung wie Preisnachlässe, Zugaben und Geschenke müssen klar als solche erkennbar sein, genauso wie Preisausschreiben oder Gewinnspiele mit Werbecharakter (vgl. § 6 DDG).

Das DDG konkretisiert die Zuständigkeiten der Behörden in Deutschland. Hier wird nun nämlich die Voraussetzung geschaffen, dass deutsche Behörden den DSA bei den Unternehmen durchsetzen können, die der deutschen Aufsicht unterliegen. Für die Aufsicht und die Durchsetzung des DSA in Deutschland ist eine unabhängige Koordinierungsstelle innerhalb der Bundesnetzagentur zuständig (§§ 1 Abs. 4 Nr. 2, 14 Abs. 1 DDG).

Das DDG beinhaltet in § 33 einen umfangreichen Bußgeldkatalog. So kann etwa bei Verstößen gegen die Transparenz- und Informationspflichten des DSA eine Geldbuße von bis zu 300.000 Euro verhängt werden (§ 33 Abs. 6 Nr. 1 DDG).

Das DDG ersetzt in allen nationalen Gesetzen den Begriff „Telemedien“ im Einklang mit der neuen europäischen Terminologie durch den Begriff „digitale Dienste“. Das hat auch Auswirkungen auf die Bezeichnungen der Regelungswerke als solche: So wird etwa das Telekommunikation-Telemedien-Datenschutz-Gesetz vom 23. Juni 2021 infolgedessen den Namen „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)“ tragen. Sowohl das Telemediengesetz als auch überwiegende Teile des Netzwerkdurchsuchungsgesetzes treten außerdem außer Kraft. Infolgedessen wird sich die Impressumspflicht zukünftig aus § 5 DDG ergeben.

Für die Praxis bedeutet das Inkrafttreten des DDG insbesondere erhöhten Compliance-Aufwand. Unternehmen sollten schon jetzt prüfen, was sie im Rahmen ihrer internen Strukturen, der Darbietung ihrer Dienste sowie ihrer AGB verändern müssen, sowie entsprechende Prozesse anstoßen.

Denn da sowohl private als auch geschäftliche Nutzende das Recht haben, aufgrund eines Verstoßes gegen die Verpflichtungen des DSA durch den Anbieter digitaler Dienste Schadensersatz für etwaige Schäden oder Verluste zu fordern, ist evtl. mit mehr Klagen zu rechnen. Zudem sollten Anbieter digitaler Dienste beachten, dass sich auch Nutzende, die ihr Recht nicht selbst durchsetzen wollen, bei der Koordinierungsstelle für digitale Dienste beschweren und damit evtl. aufsichtsbehördliche Maßnahmen auslösen können, da die Stelle daraufhin verpflichtet ist, die Beschwerde zu prüfen (vgl. Art. 53 DSA).

Seit dem Inkrafttreten des revidierten Schweizer Datenschutzgesetzes (revDSG) vor einem halben Jahr am 1. September 2023 gibt es keine wesentlichen Neuerungen in Bezug auf das Gesetz selbst. In der Praxis haben sich jedoch einige Unsicherheiten und Fragen ergeben, insbesondere im Zusammenhang mit der Umsetzung gewisser Grundsätze und Anforderungen.

Ein Bereich, der einige Verwirrung verursacht hat, betrifft den Grundsatz der Transparenz, insbesondere die Ausgestaltung der Datenschutzerklärungen (DSE). Es besteht Unklarheit darüber, ob die geforderten Pflichtinhalte ausreichend sind und wie genau die Zwecke der Datenverarbeitung beschrieben werden sollen. Dies hat zu verschiedenen Versionen von DSEs geführt, von kurzen bis hin zu ausführlichen Varianten. Auch der Umgang mit einem möglichen Rechtsmissbrauch des Auskunftsrechts, insbesondere im Zusammenhang mit Beweissicherung im Rahmen von Rechtsstreitigkeiten, ist ein diskutiertes Thema, insbesondere bei Arbeitnehmern und Arbeitgebern.

Ein weiterer Schwerpunkt liegt auf der Gestaltung von Auftragsbearbeitungsverträgen. Obwohl das Gesetz nicht viele Pflichtinhalte vorschreibt, gibt es Unsicherheit darüber, wie solche Verträge am besten ausgestaltet werden sollten, um den Anforderungen des Datenschutzes gerecht zu werden.

Neben diesen praktischen Herausforderungen ist vielleicht auch Folgendes interessant zu wissen:

• Ende Juni 2024 wird der neue Tätigkeitsbericht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) veröffentlicht. Dieser Bericht wird Einblicke in die Durchsetzung des Datenschutzrechts und aktuelle Trends geben.
• Am 15. Januar 2024 wurde ein aktualisierter Leitfaden zu den technischen und organisatorischen Maßnahmen der Datensicherheit veröffentlicht. Dieser Leitfaden bietet eine aktualisierte Übersicht über Risiken in Bezug auf heutige Informationssysteme aus Datenschutzsicht sowie Lösungsvorschläge, um einen angemessenen Schutz personenbezogener Daten gemäß den aktuellen Standards zu gewährleisten.

Insgesamt zeigt sich, dass trotz des Inkrafttretens des Schweizer DSG noch einige Fragen offen sind und die praktische Umsetzung weiterhin Herausforderungen mit sich bringt. Du bist noch nicht in der Praxis des DSG angekommen und suchst nach einer passenden Weiterbildung? Dann haben wir genau das Richtige für dich! Egal, ob du alles über das Schweizer Datenschutzgesetz erfahren möchtest, der Bezug zur Datenschutzgrundverordnung für dich relevant ist oder du dich zur Datenschutzberater*in ausbilden lassen möchtest. Unsere Expertinnen und Experten der MORGENSTERN Academy beantworten gerne alle deine Fragen in unseren Online-Seminaren und Lehrgängen!

Unter Open Data werden Daten verstanden, die unter einer freien Lizenz öffentlich zugänglich gemacht und ohne Einschränkungen genutzt und weiterverwendet werden dürfen. Open Data bietet weitreichende Nutzungspotenziale für Wissenschaft, Wirtschaft und die Zivilgesellschaft. Sie gilt als ein essenzieller Baustein für Open Government und somit für offenes Regierungs- und Verwaltungshandeln. Die breite Verfügbarkeit von Daten allgemein gilt als immer wichtigerer Wirtschaftsfaktor sowie als integraler Teil einer modernen Infrastruktur. Beispiele für die Nutzung von Open Data sind etwa der Kriminalitätsatlas Berlin oder das Projekt „Großstadt Baum“.

Die Pflicht zur Einbindung von Open Data für öffentliche Auftraggeber weitet sich insgesamt immer weiter aus. Bereits durch die am 13. Juli 2017 in Kraft getretene Änderung des E-Government-Gesetzes mit dem darin neu geschaffenen § 12a EGovG (Erstes Open Data Gesetz) wurde in Deutschland der Grundstein zur Schaffung eines Rechtsrahmens für Open Data geschaffen. Hierdurch werden Behörden der unmittelbaren Bundesverwaltung verpflichtet, die von Ihnen erhobenen unbearbeiteten, sogenannten „Rohdaten“ (mit wenigen Ausnahmen) zu veröffentlichen. Darüber hinaus wurden zentrale Kriterien für Open Data vorgegeben, wie etwa die entgeltfreie Bereitstellung der Daten, der freie Zugang zu den Daten sowie das Kriterium der Maschinenlesbarkeit. Im Jahr 2019 wurde dann auf EU-Ebene eine Open Data-Richtlinie (2019/1024 v. 20.06.2019) erlassen. Durch das am 23. Juli 2021 in Kraft getretene Zweite Open Data Gesetz hat der Gesetzgeber die bisherigen Verpflichtungen für die Bundesverwaltung – u.a. durch Einbeziehung der mittelbaren Bundesverwaltung in den Kreis der verpflichteten Behörden – deutlich erweitert. Mit der Open Data Strategie der Bundesregierung vom 6. Juli 2021 wurde zudem ein Handlungsrahmen zur Verbesserung des Open Data Ökosystems des Bundes vorgegeben. Hierdurch soll die Datenbereitstellung verbessert, sowie ein Auf- und Ausbau leistungsfähiger und nachhaltiger Dateninfrastrukturen erfolgen. Auf Landesebene gibt es bereits in mehreren Bundesländern Open-Data-Gesetze (bspw. in Hessen).

Bei der Berücksichtigung von Open Data im Rahmen der Durchführung von Vergabeverfahren stellen sich mehrere Herausforderungen. Von zentraler Bedeutung ist, die Datensouveränität und Datenhoheit des Auftraggebers sicherzustellen. Insoweit müssen insbesondere die Nutzungsrechte entsprechend geregelt werden. Zudem ist eine leichte Trennbarkeit von personenbezogenen bzw. nicht personenbezogenen Daten erforderlich. Darüber hinaus muss eine möglichst leichte Exportierbarkeit der Daten sichergestellt werden. Auch einfach handhabbare Dateiformate sind von essenzieller Bedeutung für die Umsetzung von Open Data.  Schließlich bedarf es auch Schnittstellen zu den entsprechenden Plattformen, auf denen die Daten veröffentlicht werden sollen.

Konkret umgesetzt werden sollten diese Aspekte im Vertrag sowie in der Leistungsbeschreibung. Im Vertrag müssen die Nutzungsrechte entsprechend geregelt werden. Es solle eine sog. „Open-Data-Klausel“ vorgegeben werden. Auch sollte eine vertragliche Sicherstellung der Nutzbarkeit von Daten bei einem Wechsel des Dienstleistungsunternehmens erfolgen. Zudem sollten die zentralen Begriffe eindeutig definiert werden, wie etwa: Daten, Offene Daten, Metadaten, Offenes Format, Maschinenlesbares Format, Offener Standard und Schnittstellen. Schließlich sollten auch die Lizenzierungsmodalitäten klar im Vertrag geregelt werden.  Soweit es sich bei der Vorgabe, Open Data zu nutzen, um eine zwingende Verpflichtung für den öffentlichen Auftraggeber handelt, sollten die Regelungen als Teil der Leistungsbeschreibung und des Vertrags und nicht als Wertungskriterien gestaltet werden.

Bereits im letzten Jahr hat das Thema Zulassungspflicht nach dem Fernunterrichtsschutzgesetz (FernUSG) Online-Kursanbieter*innen nervös werden lassen. Nun lässt ein neues Urteil zum FernUSG erneut aufhorchen.

Aber worum geht es?
Das FernUSG regelt, dass Anbieter von so genanntem Fernunterricht sowohl im B2C- als auch im B2B-Bereich nur mit einer Zulassung tätig werden dürfen. Die Zulassung erfolgt durch die Staatliche Zentralstelle für Fernunterricht (ZFU). Um eine Zulassung zu erhalten, muss die Methodik und Didaktik des Fernunterrichts gegenüber der ZFU ausführlich dargelegt werden.
Fernunterricht liegt nach § 1 FernUSG vor, wenn ein Lehrgang auf vertraglicher Grundlage gegen Entgelt angeboten wird und eine individuelle Lernerfolgskontrolle stattfindet. Darüber hinaus müssen Lernende und Lehrende überwiegend räumlich getrennt sein, d.h. Präsenzveranstaltungen oder Phasen synchroner Kommunikation dürfen einen Anteil von fünfzig Prozent nicht überschreiten. Es reicht aus, wenn sich Lehrende und Lernende tatsächlich nicht am selben Ort aufhalten. Online-Seminare sind nach den FAQ der ZFU in der Regel insgesamt nicht zulassungspflichtig, da sie synchron in Echtzeit stattfinden und keine räumliche Trennung zwischen Lehrenden und Lernenden im Sinne des FernUSG besteht. Etwas anderes gilt, wenn das Online-Seminar aufgezeichnet wird und die Aufzeichnung den Lernenden zum zeitversetzten Anschauen zur Verfügung gestellt wird.

Der Kernpunkt der Kriterien ist das Erfordernis der Lernerfolgskontrolle:
Die individuelle Lernerfolgskontrolle bezieht sich auf die Überwachung des Lernerfolgs der Teilnehmenden. Der Gesetzgeber hat bei der Formulierung des Gesetzes den Begriff der Lernerfolgskontrolle umfassend und weit verstanden. Wesentliches Merkmal des Fernunterrichts ist die Begleitung und Betreuung der Teilnehmenden. Daher ist das Merkmal „individuelle Lernerfolgskontrolle“ auch dann erfüllt, wenn den Teilnehmenden die Möglichkeit gegeben wird, inhaltliche Fragen zu stellen. Dazu gehört in der Regel auch der Austausch in einem sozialen Netzwerk, wenn es sich um fachliche Fragen und nicht nur um technische Unterstützung handelt.
Im Gegenzug sind automatisch auswertbare digitale Aufgabenkonzeptionen in der Regel nicht als individuelle Lernerfolgskontrollen zu verstehen. Darunter sind z.B. digitale Tests oder Multiple-Choice-Fragen zu verstehen.

Wer unter das FernUSG fällt und Kurse ohne Zulassung anbietet, muss mit erheblichen Konsequenzen rechnen: Die Verträge mit den Kursteilnehmenden sind nach § 7 FernUSG nichtig. Bereits gezahlte Entgelte können zurückverlangt werden.

Online-Coaching ist kein Fernunterricht!
Das Oberlandesgericht Hamburg hat das FernUSG jüngst in seinem Urteil vom 20.02.2024 (Az. 10 U 44/23) wieder aufgewärmt, in dem es sich mit der Frage zu befassen hatte, ob auch sogenannte Online-Coachings unter das Gesetz fallen und damit zulassungspflichtig sind. Im Ergebnis hat das Oberlandesgericht die Anwendbarkeit des FernUSG auf Online-Coachings in dem konkret zu entscheidenden Fall verneint, und zwar entgegen der Vorinstanz, die von einer Zulassungspflicht ausgegangen war. Hauptargument war, dass beim Online-Coaching die individuelle Beratung und nicht die Vermittlung von spezifischem Wissen im Vordergrund stehe. Das Gericht setzte sich zudem mit dem Kriterium der Lernerfolgskontrolle auseinander.

Du bietest (Online-)Kurse an und möchtest wissen, ob du tätig werden musst? Dann kontaktiere uns gerne!