Datenschutz-Grundverordnung – Das TTDSG ist da! (Teil 1 - Theorie)

Seit nunmehr 4 Jahren gilt für alle EU-Mitgliedstaaten die Datenschutz-Grundverordnung (DSGVO). Auch im internationalen Gebrauch als GDPR - General Data Protection Regulation bekannt. Bei der Erwähnung dieser Kürzel kommen manch einem wohl eher Assoziationen nach unnötigem bürokratischem Aufwand, undurchsichtiger Rechtslage und Trägheit bei der Umsetzung in den Sinn. Auch auf den Websiten ist der Dschungel aus Lesen, Auswählen und Klicken eher weniger ein Schritt in die Richtung gesteigerter Web Usability. Dabei war dies nie die gedachte Intention bei der Gesetzgebung.

Die Gesetzgebung

Nun gilt aber in Deutschland seit dem 1. Dezember 2021 das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Dies führt die bekannte EU-Regulierung auch als „Cookie-Richtlinie“ bekannt, mit dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG), in einem neuen Gesetz zusammen. Damit bekommt die DSGVO, welche nur als Übergangslösung ohne nationale Spezifizierung angedacht war, einen ganz klaren Rahmen.

Im Detail möchte ich hier nicht auf die Änderungen, welche das Kopplungsverbot, die Auskunftsrechte oder die Erlaubnisbestätigungen eingehen. Vielmehr zeige ich anhand der Problematik der Einbindung externer Quellen die rechtlichen Grundlagen und ein paar Lösungsmöglichkeiten auf. Denn ein Datentransfer in Drittländer ist bis auf wenige Ausnahmen (siehe unten) nur noch bedingt erlaubt.

Wo genau steht, dass dies nicht mehr gestattet ist?

Ein Hinweis findet man unter Art. 5 Abs. 1 DSGVO. Hier wird das Prinzip der Datenminimierung genannt. Dies gilt, so lange man nicht nachweisen kann, dass es keine andere lokale Lösungsmöglichkeit gibt und es ein unumgängliches berechtigtes Interesse besteht (siehe Art. 6 DSGVO). Ebenso ist der Art. 25 DSGVO zu beachten, in welchem eine datenschutzfreundliche Technikgestaltung als Grundlage bei der Umsetzung vorgeschrieben wird.

Welche Ausnahmen bestehen? – Sichere Länder außerhalb der EU:

Der Angemessenheitsbeschluss der EU (Adäquanzentscheidungen der Europäischen Kommission) regelt welche Nicht-EU-Länder eine adäquaten oder sogar besseren Schutz umsetzen. Dies ist kein statischer Prozess, sondern ein dynamischer und wird als dieser auch in Zukunft immer gewisse Änderungen in der Liste bewirken.

Welche „Neuigkeiten“ gib es dazu:

• das Privacy Shield gehört nun zur Vergangenheit: die USA ist seit Mitte 2020 als unsicheres Land eingestuft worden
• GB ist wieder sicher - aktuell mit dem Verfallsdatum 2025. Ein Entscheidungsentwurf für die Verlängerung liegt schon vor und muss noch durch die Mitgliedstaaten der Europäischen Union abgestimmt werden (Hinweis: dieser Umstand ist wichtig bei der Einbindung von OpenStreetMap)
• Südkorea ist seit Juni nun auch als sicher eingestuft

Nur der Vollständigkeit halber - dies sind nach aktuellem Stand angemessene Länder:

• Andorra,
• Argentinien
• Kanada (nur für kommerzielle Organisationen),
• Färöer-Inseln,
• Guernsey,
• Israel,
• Isle of Man,
• Japan,
• Jersey,
• Neuseeland,
• Schweiz,
• Südkorea,
• Uruguay,
• Vereinigtes Königreich (befristet bis 2025)

Folgende Länder sind Teil des Europäischen Wirtschaftsraums (EWR) und damit automatisch zugehörend zu den sicheren Länder:

• Liechtenstein,
• Norwegen,
• Island,
• Schweiz (eingeschränkt)

Übersichtskarte der sicheren EU-Länder:

Ausblick:

Im Teil 2 werde ich euch ein kleines Beispiel vorstellen, in welchem ich anhand einer Wordpress-Site einige durchaus praxistaugliche Lösungsmöglichkeiten zeigen werde.

Zu guter Letzt - Umfrage:

Interessieren Euch in diesem Kontext noch andere Themen, wie:

• Karten (Google Maps, OpenStreetMap) DSGVO-konform einbinden
• Google Fonts und reCAPTCHA
• Analyse Tools (Google Analytic, Matomo, etracker, Open Web Analytics,… ) rechtskonform nutzen
• Einbindung externer Inhalte, wie YouTube oder Vimeo Videos
• Was bedeutet DSGVO für … ganz speziell?

Natürlich freue ich mich über ein Feedback von euch.