Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 1231841

DEUDAT GmbH Zehntenhofstraße 5b 65201 Wiesbaden, Deutschland http://www.deudat.de
Ansprechpartner:in Frau Fabienne Arndt
Logo der Firma DEUDAT GmbH

Aktualisierung Datenschutzhinweise und Impressum der Website

Gesetzesänderung zum Impressum

(PresseBox) (Wiesbaden, )
Mit der jüngsten Zustimmung des Bundesrats zum neuen Digitalen Dienste Gesetz (DDG), das Teil der EU-weiten Implementierung des Digital Services Act ist, stehen wichtige Änderungen bezüglich der Impressumspflicht für Webseitenbetreiber in Deutschland bevor.

Was ändert sich?

Jede öffentlich zugängliche Webseite in Deutschland muss ein sogenanntes „Impressum“ (auch „Anbieterkennzeichnung“ genannt) aufweisen. Diese Pflicht ergibt sich aus § 5 des Telemediengesetzes (TMG), welches die Anbieter von Onlinediensten, wozu auch Webseitenbetreiber gehören, verpflichtet, Informationen zum Anbieter wie Name/Unternehmen, Adresse, Kontaktdaten und andere rechtliche Hinweise leicht erkennbar, unmittelbar erreichbar und jederzeit zur Verfügung zu stellen.

Nun hat am 26. April 2024 der Bundesrat dem neuen Digitale Dienste Gesetz (DDG) zugestimmt. Dieses Gesetz ist ein Teil der Umsetzungen des EU-weit seit 17. Februar 2024 geltenden Digital Services Act. Das neue DDG wird somit, sobald es in Kraft tritt, das alte Telemediengesetz ersetzen. Die Impressumspflicht wird damit durch § 5 DDG statt § 5 TMG geregelt.

Wer ist davon betroffen?

Obwohl sich die Anforderungen an den Inhalt des Impressums nicht ändern, müssen auf bestimmten Webseiten trotzdem Änderungen vorgenommen werden.

Alle Seiten, auf welchen § 5 TMG oder das Telemediengesetz im Impressum erwähnt werden, müssen angepasst werden. Ein Verweis auf die Gesetzesgrundlage wird nicht benötigt, weshalb empfohlen wird, Formulierungen wie „Impressum nach § 5 TMG“ zu vermeiden. Die Kennzeichnung als „Impressum“ oder „Anbieterkennzeichnung“ ist ausreichend.

Diese Änderungen sollten vor Inkrafttreten des neuen DDG umgesetzt werden.

Änderungen durch das TDDDG – Das sollten Sie umgehend tun

Mit der Einführung des Digital-Services-Act (DSA) am 27. Februar 2024 und der darauffolgenden nationalen Anpassungen durch das Digitale-Dienste-Gesetz (DDG) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ergeben sich wesentliche Änderungen für Betreiber von Webseiten und digitale Dienste in Deutschland.

Digital-Services-Act

Am 27. Februar 2024 trat der Digital-Services-Act (DSA; Verordnung (EU) 2022/2065) in der Europäischen Union in Kraft. Diese Verordnung soll der Schaffung eines sicheren Raumes für Nutzer und fairen Wettbewerb in Internet sichern. 

Auch in Deutschland hat die Einführung des DSA gesetzliche Änderungen bewirkt. So wird das 2007 eingeführte Telemedien-Gesetz durch das am 14. Mai 2024 in Kraft getretene Digitale-Dienste-Gesetz (DDG) ersetzt. Auch das alte Telekommunikation-Telemedien-Datenschutz-Gesetz wurde im Rahmen des DSA durch das neue Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ersetzt.

Was ändert sich?

Die meisten Änderungen finden sich in den Begriffen und Gesetzesverweisen, welche auf Webseiten angepasst werden. So sollte im Allgemeinen der Begriff “Telemedien” gegen “Digitale Dienste” ausgetauscht werden. Das Impressum, welches jede Webseite in Deutschland aufweisen muss, wird nun auch durch § 5 DDG statt § 5 TMG geregelt, weshalb Verweise auf diesen Paragrafen auch ersetzt werden sollten. Dasselbe gilt für die „Besonderen Pflichten bei kommerziellen Kommunikationen“ nach § 6 DDG (früher § 6 TMG).

Wird im Cookie-Banner auf den § 25 TTDSG verwiesen, so sollte auch hier entsprechend der § 25 TDDDG eingesetzt werden.

Auch Verpflichtungserklärungen zum Datenschutz, zum Beispiel solche für Mitarbeitende, sollten angepasst werden. Hier sind insbesondere Verweise auf das Fernmeldegeheimnis (zuvor § 3 TTDSG oder § 88 TKG) gem. § 3 TDDDG zu ändern. Bereits unterschriebene Erklärungen müssen nicht angepasst werden.

Ihre To Dos
  • Wo der Begriff „Telemedien“ verwendet wird, sollte „Digitale Dienste“ stehen
    • Das Impressum wird nun auch durch § 5 DDG statt § 5 TMG geregelt. Hier reicht aber auch nur „Impressum“ ohne einen Verweis auf das Gesetz
    • Dasselbe gilt für die „Besonderen Pflichten bei „kommerziellen Kommunikationen“ nach § 6 DDG (früher § 6 TMG).
    • Erwähnungen im Impressum sollten von TMG auf DDG geändert werden.
    • In allen verwendeten Datenschutzhinweisen wird auf das TTDSG verwiesen. TTDSG sollte hier durch TDDDG ersetzt werden. Die Verweise im Gesetz bleiben identisch.
    • Anpassung der Verpflichtungserklärung: Hier sind insbesondere Verweise auf das Fernmeldegeheimnis (zuvor § 3 TTDSG oder § 88 TKG) auf gem. § 3 TDDDG zu ändern. Bereits unterschriebene Erklärungen müssen nicht angepasst werden.
Wir empfehlen, die oben genannten Änderungen zeitnah zu überprüfen und gegebenenfalls notwendige Anpassungen vorzunehmen.

Aktualisierung Löschkonzept

Deutsche Unternehmen versäumen Löschfristen – Hamburg verhängt fast 1 Millionen Euro Bußgeld

Die Eingewöhnungszeit bei der DSGVO ist nun endgültig vorbei, wie die Hamburger Datenschutzbehörde erneut zeigt. Ein Unternehmen musste knapp 1 Million Euro Bußgeld zahlen, weil Löschfristen jahrelang ignoriert wurden.
Löschpflichten sind eine der größten Herausforderungen im Datenschutz und oft unzureichend umgesetzt. Doch genau hier setzt die Behörde klare Grenzen: „Es ist nicht akzeptabel, wenn datengetriebene Unternehmen kein schlüssiges Löschkonzept vorweisen können“, so Thomas Fuchs, der HmbBfDI. Ein deutlicher Weckruf für alle, die ihre Löschkonzepte noch nicht im Griff haben!

Hohes Bußgeld für unzureichende Datenlöschun

Die Behörde reagierte mit Konsequenz: Unternehmen, die ihre Löschpflichten missachtet haben, müssen mit empfindlichen Bußgeldern rechnen. Besonders ein Fall sticht hervor: Ein Bußgeld in Höhe von fast 1 Million Euro wurde verhängt, weil Löschvorgaben über Jahre ignoriert wurden.
Die Hamburger Datenschutzbehörde hat angekündigt, auch in Zukunft genau hinzusehen. Unternehmen sollten dies als Anlass nehmen, ihre Datenschutzprozesse zu überprüfen und zu optimieren – bevor die nächste Prüfung vor der Tür steht.

Bedeutung eines Löschkonzepts

Die Schwerpunktprüfung zeigt, wie essenziell ein funktionierendes Löschkonzept für Unternehmen ist. Klare Fristen und die konsequente Löschung von Daten schützen nicht nur vor Sanktionen, sondern stärken auch das Vertrauen der Kunden.

Die Regelung der Aufbewahrung und der Löschverfahren sowie eine regelmäßige Löschung/Vernichtung der Daten nach Ablauf der Aufbewahrungsfristen leisten einen wesentlichen Beitrag zur Reduzierung von Risiken im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. Die Überwachung der Speicherung der Daten und deren regelmäßige Löschung ist deshalb eine Regelaufgabe und vom Informationsverantwortlichen regelmäßig wahrzunehmen.

In Artikel 5 Abs. 1 lit. e) der DSGVO (Datenminimierung) wird folgender Grundsatz definiert:
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. […]
Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt.

Für die Erfüllung der datenschutzrechtlichen Pflichten zur Löschung von personenbezogenen Daten („gesetzeskonformes Löschen“) legt dieses Löschkonzept folgendes fest:
• welche Löschregeln für welche Datenbestände gelten,
• wie aus den Löschregeln die Umsetzung der Löschung erreicht wird,
• wie die Löschregeln, Umsetzungsvorgaben und durchgeführten Löschmaßnahmen zu
• dokumentieren sind und
• wer für die aus dem Löschkonzept entstehenden Aufgaben der Umsetzung, Überprüfung und Fortschreibung verantwortlich ist.

Aktualisierung Datenschutz-Folgenabschätzung

Eine „Datenschutz-Folgenabschätzung“ (DSFA) ist eine Maßnahme zur Identifizierung, Beschreibung, Beurteilung und Minimierung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung grundsätzlich immer dann durchzuführen, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat. Um dies zu ermitteln, ist vor dem Beginn der Datenverarbeitung eine Risikoanalyse durchzuführen. Wird hierbei ermittelt, dass aller Voraussicht nach durch die vorgesehene Verarbeitung ein hohes Risiko für Betroffenen besteht, so ist zwingend eine DSFA durchzuführen.
Zur Vereinfachung der Vorabprüfung haben die europäischen Aufsichtsbehörden (früher Artikel-29-Datenschutzgruppe, heute European Data Protection Board) in Ihrem Working Paper 248 neun Risikokriterien festgelegt. Sind zwei dieser Kriterien erfüllt, so ist eine DSFA obligatorisch. Die deutschen Aufsichtsbehörden, die Datenschutzkonferenz (DSK), hat zudem eine „Muss-Liste“ erarbeitet, in der diese Bewertung schon vorgenommen wurde.

Die Durchführung einer DSFA sollte bestenfalls bereits vor der Einführung einer risikobehafteten Verarbeitung erfolgen.
Bereits durchgeführte Datenschutz-Folgenabschätzungen sollten einmal jährlich überprüft und aktualisiert werden.

Künstliche Intelligenz

Künstliche Intelligenz

In den letzten Jahren verbreitet sich künstliche Intelligenz mit hoher Geschwindigkeit in sämtlichen Branchen und Lebensbereichen aus. Bisher existieren weder auf nationaler Ebene noch auf EU-Ebene spezifische Regulierungen für KI-Systeme. Mit dem Eintritt, dass Nutzung von KI mit der Verarbeitung großer Mengen personenbezogener Daten in Verbindung gebracht wird, ergeben sich unter diesem Kontext zahlreiche datenschutzrechtliche Fragen.

ChatGPT als Beispiel

Neue künstliche Intelligenzen wie ChatGPT (Generative Pre-Trained Transformer) bieten viele neue Möglichkeiten. Der Chatbot des US-amerikanischen Unternehmens OpenAI LP generiert neue Texte und Antworten aus vorher gelerntem Textmaterial. So kann dieser für einfache Konversationen, aber auch zur Erstellung komplexer Texte verwendet werden.

Ein Chatbot kann zum Beispiel Texte für Webseiten, Social Media Accounts oder für die Marketing-Abteilung erstellen. Das Generieren von personalisierter Werbung ist für bestimmte Zielgruppen ebenfalls möglich.

Dabei ist zu beachten, dass ChatGPT keinesfalls immer die richtigen Antworten gibt. ChatGPT generiert Texte aus den gelernten bestehenden Texten, weshalb das Ergebnis oft echt und überzeugend klingt. Eine Garantie über die Richtigkeit der Ergebnisse gibt es allerdings keine. Sofern ChatGPT keine Inhalte findet, erfindet das System Informationen. Ein Beispiel der Fehlerhaftigkeit an Informationen zeigt sich mit der Frage „Wofür steht DEUDAT?“. Daraufhin antwortet der Chatbot: „Nach meinen Informationen steht DEUDAT für „Deutsche Datenschutz und Datensicherheitsgesellschaft mbH.“ Dies ist eine von ChatGPT erfundene Wortschöpfung, da für ChatGPT kein Unternehmen mit diesem Namen existiert.

Funktionsweise

Um eine Frage zu beantworten, wird diese von ChatGPT analysiert und die relevanten Informationen werden extrahiert. Diese werden daraufhin mit den vorhandenen Trainingsdaten (bestehende Daten, die von der KI analysiert wurden) abgeglichen und darauf basierend wird eine Antwort generiert.
Die genaue Funktionsweise des Chatbots und welche Trainingsdaten von ChatGPT verwendet werden ist unbekannt, weshalb auch die genaue Verarbeitung der Daten nicht bekannt ist. Es lässt sich demnach nicht sagen, was mit den dort eingegebenen Daten und Unterhaltungen passiert.

Chatverlauf

Die Verwendung von ChatGPT erfordert die Erstellung eines Nutzeraccounts bei OpenAI. Dabei müssen sich Nutzer zunächst mit Ihrer E-Mail-Adresse registrieren. In diesem Account werden unter anderem die Unterhaltungen, welche mit ChatGPT geführt werden, gespeichert. In Unternehmen ist daher wichtig, dass diese Accounts gut geschützt sind und ein Löschkonzept für Chatverläufe besteht.

Weiterverwendung von Daten

Alle Eingaben in ChatGPT werden als Trainingsdaten für die Weiterentwicklung der künstlichen Intelligenz verwendet. Dies gilt auch für personenbezogene Daten oder Unternehmensdaten. Nachdem ChatGPT diese Daten gelernt hat, können diese in Antworten gegenüber anderen Nutzern verwendet werden. So könnte beispielsweise die Antwort auf eine Frage über ein bestimmtes Unternehmen oder eine Person die vorher eingegebenen Daten enthalten. Dadurch könnten Geschäftsgeheimnisse oder persönliche Daten veröffentlicht werden.

Innovation und Recht

Künstliche Intelligenz ist eine neue, sich ständig verbessernde Technologie. Jedoch trifft ChatGPT, wie viele neue Technologien, auf altes bestehendes Recht. Aus diesem Grund müssen neue Technologien rechtskonform gestaltet und eingesetzt werden. Bei Online-Angeboten betrifft dies insbesondere das Datenschutzrecht.
Die Datenschutzgrundverordnung (DSGVO) reguliert die Verarbeitung von personenbezogenen Daten (Daten, welche eine Person identifizieren oder identifizieren können) in der EU. Eine solche Verarbeitung findet ebenso statt, wenn ChatGPT Daten mitgeteilt werden. Dabei sollten die strikten Vorgaben, an welche die Verarbeitung von personenbezogenen Daten gebunden ist, erfüllt werden.

Transparente Verarbeitung

Die Grundsätze der Verarbeitung personenbezogener Daten werden in Art. 5 DSGVO aufgeführt. Diese dienen der Sicherstellung eines rechtmäßigen und angemessenen Umgangs mit personenbezogenen Daten.
Einer dieser Grundsätze für die Verarbeitung personenbezogener Daten ist die transparente Verarbeitung. Der Grundsatz der Transparenzpflicht setzt voraus, dass alle Informationen zur Verarbeitung der Daten leicht zugänglich, verständlich und in klarer sowie einfacher Sprache verfasst sind. Aufgrund des nicht öffentlichen Algorithmus und anderen komplexen Vorgängen, welche bei ChatGPT im Hintergrund stattfinden, ist eine solche informierte, transparente Verarbeitung nicht möglich.

Kommerzielle Nutzung

Für die kommerzielle Nutzung der OpenAI-API (nicht ChatGPT) wird für zahlende Kunden Zugriff über eine Programmierschnittstelle, auch API genannt, bereitgestellt. Dazu bietet der Betreiber OpenAI LP einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO an. Dieser dient dazu, die Verarbeitung und Datenübertragung zwischen OpenAI und den Kunden zu regeln.

Die rechtliche Situation hinsichtlich der Verantwortlichkeiten ist jedoch nicht eindeutig erfasst worden. Es ist unklar, ob es sich um ein Auftragsverarbeitungsverhältnis handelt oder ob eine gemeinsame oder getrennte Verantwortlichkeit besteht. Die Bedenken ergeben sich aus der Tatsache, dass OpenAI die Daten nicht nur für Trainingszwecke, sondern vermutlich auch für Werbezwecke verarbeitet. Dadurch verfolgt OpenAI auch eigene Interessen, was gegen die Anforderungen einer Auftragsverarbeitung nach Art. 28 Abs. 3 Satz 2 lit. a) DSGVO sprechen könnte. Gemäß Art. 26 Abs. 1 S. 1 DSGVO besteht eine gemeinsame Verantwortlichkeit, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Es ist jedoch unwahrscheinlich, dass beide Voraussetzungen erfüllt sind, da das Unternehmen, das die API nutzt, wahrscheinlich kaum Einfluss auf die Verarbeitung bei OpenAI hat und die Mittel zur Verarbeitung nicht gemeinsam festgelegt werden.

Da OpenAI nur seinen eigenen AVV anbietet, ist die rechtliche Situation in Bezug auf die Unterauftragsverarbeitung ebenfalls unklar. Das Unternehmen, das die API nutzt, könnte für seine eigenen Kunden möglicherweise als Auftragsverarbeiter auftreten, was OpenAI zu einem Unterauftragsverarbeiter machen würde. Dieser Aspekt müsste im Verhältnis zwischen dem Unternehmen und seinen Kunden im AVV transparent geklärt sein.

Datenübertragung

In den Artikeln 44 ff. DSGVO werden besondere Voraussetzungen für die Übertragung personenbezogener Daten in Drittländer aufgeführt. Die Vereinigten Staaten von Amerika werden als ein unsicheres Drittland eingestuft, was bedeutet, dass für die Übertragung von Daten entweder eine Zertifizierung des Unternehmens gemäß dem EU-U.S. Data Privacy Framework vorliegen muss, oder die Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO im Rahmen von Auftragsverarbeitungsverträgen mit zusätzlichen Sicherheitsmaßnahmen enthalten sein sollten.
Die OpenAI-API wird vom US-amerikanischen Unternehmen OpenAI LP angeboten, weshalb bei jeder Eingabe eine Datenweitergabe in die USA stattfindet. OpenAI ist nicht unter dem neuen Data Privacy Framework zwischen den USA und der EU zertifiziert, weshalb die Übertragung in den AVV-Standardvertragsklauseln geregelt wird. Diese setzen weiterhin die Durchführung eines Transfer Impact Assessments (TIA) für die Übertragung und die Sicherstellung der Sicherheit durch angemessene technische und organisatorische Maßnahmen voraus.

Umgang mit KI

Von der Weitergabe personenbezogener Daten oder anderer sensibler Daten an künstliche Intelligenzen wie ChatGPT sollte prinzipiell abgesehen werden. Da sämtliche Daten als Trainingsdaten weiterverwendet werden könnten, besteht die Möglichkeit, dass eingegebene Daten später von der KI an Dritte weitergegeben werden.

Die OpenAI-API bietet in dieser Hinsicht mehr Sicherheit, da die Verarbeitung der Daten im AVV festgelegt wird. Wird die OpenAI-API doch mit der Weitergabe personenbezogener Daten verwendet, so müssen die betroffenen Personen, deren Daten weitergeben werden, entsprechend gemäß Art. 13 DSGVO in Kenntnis gesetzt werden.

Bei allen Projekten, welche künstliche Intelligenz einsetzen, sollte ebenfalls eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Eine Datenschutz-Folgenabschätzung ist ein Instrument zur Identifizierung, Beschreibung, Beurteilung und Minimierung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung grundsätzlich immer dann durchzuführen, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat. Um dies zu ermitteln, ist vor dem Beginn der Datenverarbeitung eine Risikoanalyse durchzuführen. Wird hierbei ermittelt, dass aller Voraussicht nach durch die vorgesehene Verarbeitung ein hohes Risiko für Betroffene besteht, so ist zwingend eine DSFA durchzuführen.

Website Promotion

Website Promotion
Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2025, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.